要让计算机在不重新启动计算机的情况下更新其组成员身份,可以使用命令清除 kerberos 票证klist -li 0x3e7 purge。后续的gpupdate或gpresult将反映新的组成员身份。
然而,这在域控制器上似乎不起作用。为什么?
票证已成功清除,但后续操作gpresult /r未反映出更改。
答案1
域控制器将通过环回 SMB 直接从其自身获取 GPO,而环回 SMB 不使用 Kerberos – 它使用 NTLM,更具体地说,它在特殊的“本地调用”模式下使用 NTLM。
NTLM 具有具体处理对于环回连接 - 服务器进程不会执行质询/响应,然后查询目录以获取用户详细信息,而是直接查看客户端进程的安全令牌,因此它始终会看到启动该进程时有效的组。
进程安全令牌是一个本地 Windows 概念,通常不是可以即时清除或重新获取的东西——你必须重新启动该进程(也可能是开始该过程),这意味着要么重新启动服务(或对交互式会话进行干净的注销/登录),要么完全重启。