Adalah fakta yang diketahui oleh semua administrator bahwa setelah menambahkan komputer atau pengguna ke grup Direktori Aktif, untuk memperbarui keanggotaan grup dan menerapkan hak / kebijakan yang ditetapkan, Anda harus memulai ulang komputer (jika akun komputer ditambahkan ke grup domain) atau memasukkan kembali sistem (untuk pengguna). Ini karena keanggotaan grup AD diperbarui ketika tiket Kerberos dibuat, yang terjadi ketika sistem melakukan booting dan ketika pengguna masuk..
Dalam beberapa kasus, me-reboot sistem atau logoff pengguna tidak layak karena alasan operasional. Dan Anda perlu menggunakan hak yang diperoleh, mengakses atau menerapkan kebijakan baru sekarang. Dimungkinkan untuk memperbarui keanggotaan akun dalam grup AD tanpa me-reboot atau mendaftarkan ulang pengguna dalam sistem.
Catatan. Teknik yang dijelaskan dalam artikel ini hanya akan berfungsi untuk layanan jaringan yang mendukung otentikasi Kerberos. Layanan yang hanya berfungsi dengan otentikasi NTLM masih memerlukan log masuk pengguna + log masuk pengguna atau restart Windows.Daftar grup pengguna saat ini dapat diperoleh dari baris perintah menggunakan perintah:
whoami / kelompok
atau GPresult
gpresult / r
Daftar grup yang menjadi anggota pengguna terdapat di dalam. Pengguna adalah bagian dari grup keamanan berikut.
Utilitas dapat mengatur ulang tiket Kerberos saat ini tanpa me-reboot klist.exe . Klist telah dimasukkan dalam Windows sejak Windows 7, untuk XP dan Windows Server 2003 diinstal sebagai bagian dari Windows Server 2003 Resource Kit Tools.
Untuk mengatur ulang seluruh cache tiket Kerberos dari komputer (sistem lokal) dan memperbarui keanggotaan komputer dalam grup AD, Anda perlu menjalankan perintah dengan hak administrator di baris perintah:
klist -lh 0 -li 0x3e7 membersihkan
Setelah menjalankan perintah dan memperbarui kebijakan, semua kebijakan yang ditetapkan untuk grup AD melalui Pemfilteran Keamanan akan diterapkan ke komputer..
Adapun pengguna. Misalkan akun pengguna domain telah ditambahkan ke grup Active Directory untuk mengakses sumber daya file. Secara alami, pengguna tidak akan memiliki akses ke katalog tanpa login.
Setel ulang semua tiket pengguna Kerberos dengan perintah:
klist purge
Untuk melihat daftar grup yang diperbarui, Anda perlu memulai jendela command prompt baru dan melalui runa sehingga proses baru dibuat dengan token keamanan baru.
Misalkan grup AD ditugaskan kepada pengguna untuk memberikan akses ke direktori jaringan. Cobalah untuk menghubunginya FQDN nama (misalnya, \\ msk-fs1.winitpro.loc \ distr) dan periksa apakah tiket TGT telah diperbarui:
klist tgt
Direktori jaringan yang aksesnya diberikan melalui grup AD harus dibuka tanpa login pengguna (!!! pastikan untuk menggunakan nama FQDN).
