Apakah ada cara untuk memperbarui keanggotaan grup komputer tanpa me-reboot?

17

Saya menggunakan Windows Server 2008 R2 dan memiliki layanan windows yang berjalan di bawah akun "layanan jaringan" di komputer ComputerA. Layanan windows ini ingin mengakses folde share (di komputer lain ComputerB) yang memberikan izin baca ke grup GroupA. Jadi saya perlu menambahkan akun komputer ComputerA ke GroupA dan me-restart ComputerA.

Pertanyaan saya adalah: apakah ada cara untuk membiarkan keanggotaan grup berlaku tanpa me-restart ComputerA?

pkuneal
sumber

Jawaban:

24
For Windows 2008 and higher:

psexec -s -i -d cmd.exe

C:\Windows\system32>whoami
nt authority\system

-- List the session 0 tickets (0x3e7 is the machine session 0)
klist -lh 0 -li 0x3e7  

-- Purge the session 0 tickets  
klist -lh 0 -li 0x3e7 purge  

Should display:  

Current LogonId is 0:0x3e7  
        Deleting all tickets:  
        Ticket(s) purged!  

PSExec adalah unduhan SysInternals gratis dari Microsoft.


Untuk menjernihkan kebingungan, proses ini benar-benar akan menyegarkan keanggotaan grup komputer, dan memungkinkan kebijakan grup yang berlaku untuk grup keamanan sekarang berlaku untuk komputer, tanpa me-reboot komputer. Ini telah diuji dan diverifikasi pada Windows Server 2012 R2 dan Windows Server 2008 R2 dan grup keamanan universal. Versi singkatnya adalah:

  • psexec -s -i -d cmd.exe
  • klist tgt (lihat tiket saat ini, catat ukurannya. Juga perhatikan bahwa karena Anda menjalankan sebagai sistem, Current Logon Id adalah 0x3e7)
  • Tambahkan komputer ke grup keamanan. (Berikan waktu untuk mereplikasi, jika ada)
  • klist purge
  • nltest /dsgetdc:domain.com (jalankan perintah ini atau lainnya yang akan terhubung ke sumber daya jaringan dan memaksakan permintaan TGT)
  • klist tgt (lihat tiket saat ini, catat ukurannya. Seharusnya sedikit lebih besar. Perhatikan bahwa whoami / grup tidak akan mencerminkan keanggotaan baru)

Pada titik ini, jika prompt perintah sistem keluar.

  • gpupdate /force
  • gpresult /h gpresult.html

Lihat gpreport, itu sekarang harus menunjukkan kebijakan grup diterapkan.

Greg Askew
sumber
Saya dapat mengkonfirmasi ini baru berfungsi pada Server 2012 R2 dan Server 2016
KellCOMnet
Tidak berfungsi untuk saya di Windows Server 2012 R2 (untuk server anggota, DC, domain, dan tingkat fungsional hutan): Saya dapat membersihkan tiket Kerberos, tetapi tidak pernah mendapatkan grup baru ( klist tgtukurannya tidak berubah, atau whoami /groupsmencerminkan grup baru) . Saya telah memeriksa perubahan pada grup yang direplikasi melalui semua DC.
curropar
Yah, seperti per shellandco.net/blog/2016/07/07/… , saya menemukan tidak ada cek yang mencerminkan keanggotaan baru, tetapi sebenarnya diterapkan. Ini berlaku untuk kasus saya: Saya sekarang dapat menjalankan aksinya tergantung pada grup baru, terima kasih !!
curropar
2

Saya pikir memulihkan layanan netlogon melakukan hal yang sama, tidak yakin apa dampak keseluruhannya. Cukup yakin bahwa pengguna akan sementara memutuskan pengguna.

tony roth
sumber
Untuk workstation Windows 7 apakah ini solusi tanpa me
321X
Dalam pengalaman saya me-restart layanan tidak berpengaruh pada keanggotaan grup.
PHLiGHT
-1

Di domain saya hanya berfungsi untuk drive jaringan:

@echo off
net use M: /d /y
gpupdate /force
net use M: \\10.11.12.233\Archivos /persistent:Yes
explorer.exe M:
Diego Sebastian
sumber