我在 Active Directory 域中,远程访问服务器,其中我的域帐户位于管理员组中。
当我仍处于登录状态时,其他人将我从该管理员组中删除。但是,在我注销之前,我仍然保留所有管理员权限。
这似乎违反直觉,所以我想知道我是否遗漏了什么?我看到了关于紧急注销- 这是我唯一的选择吗,或者是否有其他方法可以强制至少更新用户的权限,以便他们虽然仍然登录,但至少不再拥有管理员权限?
答案1
否 - 管理员权限源于群组成员资格。
组成员身份存储在用户的 Kerberos 票证中,该票证将一直存在,直到用户注销或票证过期并续订(其默认有效期为 10 小时,但可以在您的域中自定义)。
注销或等待到期是取消授予管理员权限的组成员身份的唯一方法。