Есть ли способ обновить членство в группе компьютеров без перезагрузки?

17

Я использую Windows Server 2008 R2 и на компьютере ComputerA запущена служба Windows, работающая под учетной записью «Сетевая служба». Эта служба Windows хочет получить доступ к папке общего доступа (на другом компьютере ComputerB), которая предоставляет разрешение на чтение для группы GroupA. Поэтому мне нужно добавить учетную запись компьютера ComputerA в GroupA и перезапустить ComputerA.

У меня вопрос: есть ли способ, чтобы членство в группе немедленно вступило в силу без перезагрузки компьютера?

windows  active-directory  groups 
pkuneal
источник

Ответы:

24 
For Windows 2008 and higher:

psexec -s -i -d cmd.exe

C:\Windows\system32>whoami
nt authority\system

-- List the session 0 tickets (0x3e7 is the machine session 0)
klist -lh 0 -li 0x3e7  

-- Purge the session 0 tickets  
klist -lh 0 -li 0x3e7 purge  

Should display:  

Current LogonId is 0:0x3e7  
        Deleting all tickets:  
        Ticket(s) purged!

PSExec - это бесплатная загрузка SysInternals от Microsoft.

Чтобы устранить любую путаницу, этот процесс абсолютно обновит членство в группах на компьютере и позволит теперь применить к компьютеру групповую политику, которая применяется к группе безопасности, без перезагрузки компьютера. Это было проверено и проверено на Windows Server 2012 R2 и Windows Server 2008 R2 и универсальной группе безопасности. Краткая версия будет:

  • psexec -s -i -d cmd.exe
  • klist tgt (просмотрите текущий тикет, запишите его размер. Также обратите внимание, что, поскольку вы работаете как система, Текущий идентификатор входа в систему равен 0x3e7)
  • Добавьте компьютер в группу безопасности. (Дайте время для репликации, если применимо)
  • klist purge
  • nltest /dsgetdc:domain.com (запустите эту или любую другую команду, которая подключится к сетевому ресурсу и вызовет запрос TGT)
  • klist tgt (просмотрите текущий тикет, запишите его размер. Он должен быть немного больше. Обратите внимание, что whoami / groups не будут отражать новое членство)

На этом этапе, системная командная строка может быть закрыта.

  • gpupdate /force
  • gpresult /h gpresult.html

Просмотрите gpreport, теперь он должен показать, что групповая политика применяется.

Грег Аскью
источник
Я могу подтвердить, что это только что работало на Server 2012 R2 и Server 2016
KellCOMnet
У меня не работает в Windows Server 2012 R2 (как для рядового сервера, так и для домена, домена и функционального уровня леса): я могу удалить билеты Kerberos, но никогда не получаю новую группу (ни klist tgtразмер не изменяется, либо whoami /groupsотражает новую группу) , Я проверил, что изменения в группе реплицируются через все контроллеры домена.
Курропар
Что ж, согласно shellandco.net/blog/2016/07/07/… я обнаружил, что ни одна из этих проверок не отражает новое членство, но на самом деле она применяется. Это верно для моего случая: теперь я могу выполнить действие в зависимости от новой группы, спасибо !!
Курропар
2

Я думаю, что перезапуск сервиса netlogon делает то же самое, но я не уверен, каким будет общее влияние. Я уверен, что пользователи будут временно отключать пользователей.

Тони Рот
источник
Для рабочей станции Windows 7 это решение без перезагрузки
321X
По моему опыту, перезапуск службы не влиял на членство в группе.
PHLiGHT
-1

На моем домене работает только это для сетевого диска:

@echo off
net use M: /d /y
gpupdate /force
net use M: \\10.11.12.233\Archivos /persistent:Yes
explorer.exe M:
Диего Себастьян
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.