ฉันใช้ Windows Server 2008 R2 และมีบริการ windows ที่ทำงานภายใต้บัญชี "บริการเครือข่าย" ในคอมพิวเตอร์ ComputerA บริการ windows นี้ต้องการเข้าถึงการแชร์ folde (บนคอมพิวเตอร์เครื่องอื่น ComputerB) ที่ให้สิทธิ์การอ่านแก่กลุ่ม GroupA ดังนั้นฉันต้องเพิ่มบัญชีคอมพิวเตอร์ของ ComputerA ไปยัง GroupA และรีสตาร์ท ComputerA
คำถามของฉันคือ: มีวิธีให้สมาชิกกลุ่ม immedialy มีผลโดยไม่ต้องรีสตาร์ท ComputerA หรือไม่
คำตอบ:
For Windows 2008 and higher:
psexec -s -i -d cmd.exe
C:\Windows\system32>whoami
nt authority\system
-- List the session 0 tickets (0x3e7 is the machine session 0)
klist -lh 0 -li 0x3e7
-- Purge the session 0 tickets
klist -lh 0 -li 0x3e7 purge
Should display:
Current LogonId is 0:0x3e7
Deleting all tickets:
Ticket(s) purged!
PSExec เป็นการดาวน์โหลด SysInternals ฟรีจาก Microsoft
เพื่อล้างความสับสนใด ๆ กระบวนการนี้จะรีเฟรชการเป็นสมาชิกกลุ่มของคอมพิวเตอร์และอนุญาตให้ใช้นโยบายกลุ่มที่ใช้กับกลุ่มความปลอดภัยเพื่อนำไปใช้กับคอมพิวเตอร์ได้ในตอนนี้โดยไม่ต้องบูตคอมพิวเตอร์ใหม่ สิ่งนี้ได้รับการทดสอบและตรวจสอบใน Windows Server 2012 R2 และ Windows Server 2008 R2 และกลุ่มความปลอดภัยสากล เวอร์ชั่นย่อจะเป็น:
psexec -s -i -d cmd.exeklist tgt (ดูตั๋วปัจจุบันจดบันทึกขนาดและโปรดทราบว่าเนื่องจากคุณใช้ระบบเป็นรหัสเข้าสู่ระบบปัจจุบันคือ 0x3e7)klist purge nltest /dsgetdc:domain.com (เรียกใช้คำสั่งนี้หรือคำสั่งอื่นใดที่จะเชื่อมต่อกับทรัพยากรเครือข่ายและบังคับใช้การร้องขอ TGT)klist tgt (ดูตั๋วปัจจุบันจดขนาดควรมีขนาดใหญ่ขึ้นเล็กน้อยโปรดทราบว่า whoami / กลุ่มจะไม่สะท้อนการเป็นสมาชิกใหม่)ณ จุดนี้มันอาจจะออกคำสั่งของระบบ
gpupdate /forcegpresult /h gpresult.html ดู gpreport ตอนนี้มันควรจะแสดงนโยบายกลุ่มที่ใช้
klist tgtเปลี่ยนแปลงขนาดหรือwhoami /groupsสะท้อนกลุ่มใหม่) . ฉันได้ตรวจสอบการเปลี่ยนแปลงในกลุ่มที่มีการจำลองแบบผ่าน DC ทั้งหมด
ฉันคิดว่าการคืนค่าบริการ netlogon ทำสิ่งเดียวกันไม่แน่ใจว่าผลกระทบโดยรวมจะเป็นอย่างไร ค่อนข้างแน่ใจว่าผู้ใช้จะทำการตัดการเชื่อมต่อผู้ใช้ชั่วคราว
ในโดเมนของฉันใช้งานได้กับไดรฟ์เครือข่ายเท่านั้น:
@echo off
net use M: /d /y
gpupdate /force
net use M: \\10.11.12.233\Archivos /persistent:Yes
explorer.exe M: