我正在使用 Windows Server 2012 R2 域控制器,它主要用作文件服务器。此网络上的客户端大多不是域用户,而是使用域用户帐户来验证映射到文件服务器共享的网络驱动器。
这些域用户帐户又为文件服务器共享中的不同文件夹提供不同级别的 NTFS 访问权限。为此,NTFS 访问权限是在域用户组级别设置的,并且根据需要将域用户暂时添加到这些组或从这些组中删除。
我注意到的是,当将用户添加到授予他们额外访问权限的组时(或者实际上当他们从组中删除并因此失去访问权限时),这些权限更改直到客户端计算机(在 Windows 7 Professional 上观察到)重新启动后才会生效(因此,大概是相应映射驱动器的缓存访问令牌已被刷新。)
作为管理员,在将用户添加到组或从组中删除后立即强制刷新这些访问令牌会很有用,这样他们的新访问权限就会立即生效,而无需重新启动计算机。
这项措施有可能执行吗?如果可以,该如何执行?
答案1
答案是“不”。据我所知,没有明确的方法来更新 Kerberos 访问令牌,而无需注销/登录或重新启动。需要将新组的 SID 添加到令牌中,并且仅在这些事件中完成。
您可以尝试使用klist purge网络上尽可能多的文章所建议的,但我的尝试没有成功。
答案2
klist purge确实适用于绝大多数内容,尤其是共享文件夹的权限更改。您需要小心处理这一点。由于这是特定于会话的,因此从另一个用户的帐户执行此操作(即使在同一个系统上)将不起作用。您需要在登录用户的上下文中运行它。我个人只会在坐在某人的办公桌前时使用它(假设这是用于帮助台的情况),因此很容易测试。