我正在尝试为共享文件夹(加入域的 Windows Server 2022)设置一个有点复杂的访问场景,但遇到了一些非常奇怪的事情。
我在 AD 中创建了 3 个组:Top Test Group、测试组 A 和测试组 B。测试组 A 和 B 都放在 Top Test Group 内。
我设置了一个简单的共享,并授予了 Top Test Group 访问权限。然后我尝试使用我的非管理员帐户访问它,发现我没有访问权限。好吧...这并不奇怪 - 我忘了将自己添加到其中一个组中!但是在将自己添加到测试组 A 后,我...仍然没有访问权限。有效访问检查也显示了这一点。当我使用有效访问权限检查 Top Test Group 时,我看到了预期的权限集。
几分钟后,有效访问最终显示了我的用户的预期权限集,但我仍然无法访问网络共享本身(顶级测试组具有读/写共享权限)。
这表明权限以某种方式被缓存,并且它们被不同的系统缓存不同的持续时间,但我不记得 SMB 共享有这样的事情,我一直认为它们会立即“更新”(更改权限/组)。
知道这里发生什么事吗?
答案1
正如@djdomi 所写:您的帐户的群组成员资格不会动态更新。
登录 Windows 域时,您会获得一张“票据”,其中包含有关您当前组成员身份的信息,服务器可以根据该信息推断您是否应该被允许访问特定资源。如果您的用户被添加到新组,则需要用一张包含当前组成员身份信息的新票据替换此票据。
注销并重新登录是更新此信息的常用方法。