Có cách nào để làm mới thành viên nhóm máy tính mà không cần khởi động lại không?


17

Tôi đang sử dụng Windows Server 2008 R2 và có một dịch vụ windows chạy trong tài khoản "dịch vụ mạng" trong máy tính ComputerA. Dịch vụ windows này muốn truy cập vào chia sẻ chia sẻ (trên ComputerB máy tính khác) cấp quyền đọc cho GroupA nhóm. Vì vậy, tôi cần thêm tài khoản máy tính của ComputerA vào GroupA và khởi động lại ComputerA.

Câu hỏi của tôi là: có cách nào để cho phép thành viên nhóm có hiệu lực mà không cần khởi động lại ComputerA không?

Câu trả lời:


24
For Windows 2008 and higher:

psexec -s -i -d cmd.exe

C:\Windows\system32>whoami
nt authority\system

-- List the session 0 tickets (0x3e7 is the machine session 0)
klist -lh 0 -li 0x3e7  

-- Purge the session 0 tickets  
klist -lh 0 -li 0x3e7 purge  

Should display:  

Current LogonId is 0:0x3e7  
        Deleting all tickets:  
        Ticket(s) purged!  

PSExec là một bản tải xuống SysIternals miễn phí từ Microsoft.


Để xóa bất kỳ sự nhầm lẫn nào, quy trình này hoàn toàn sẽ làm mới tư cách thành viên nhóm của máy tính và cho phép chính sách nhóm áp dụng cho nhóm bảo mật áp dụng cho máy tính mà không cần khởi động lại máy tính. Điều này đã được kiểm tra và xác minh trên Windows Server 2012 R2 và Windows Server 2008 R2 và một nhóm bảo mật phổ quát. Phiên bản ngắn sẽ là:

  • psexec -s -i -d cmd.exe
  • klist tgt (xem vé hiện tại, ghi chú kích thước. Cũng lưu ý rằng vì bạn đang chạy như một hệ thống, Id Đăng nhập hiện tại là 0x3e7)
  • Thêm máy tính vào nhóm bảo mật. (Cho phép thời gian để nhân rộng, nếu có)
  • klist purge
  • nltest /dsgetdc:domain.com (chạy lệnh này hoặc bất kỳ lệnh nào khác sẽ kết nối với tài nguyên mạng và buộc yêu cầu TGT)
  • klist tgt (xem vé hiện tại, ghi chú về kích thước. Nó phải lớn hơn một chút. Lưu ý rằng whoami / nhóm sẽ không phản ánh thành viên mới)

Tại thời điểm này, dấu nhắc lệnh hệ thống có thể được thoát.

  • gpupdate /force
  • gpresult /h gpresult.html

Xem gpreport, bây giờ nó sẽ hiển thị chính sách nhóm được áp dụng.


Tôi có thể xác nhận điều này chỉ hoạt động trên Server 2012 R2 và Server 2016
KellCOMnet

Không hoạt động với tôi trên Windows Server 2012 R2 (cho cả máy chủ thành viên, DC, cấp độ chức năng miền và rừng): Tôi có thể thanh lọc vé Kerberos, nhưng không bao giờ có nhóm mới (không klist tgtthay đổi kích thước hoặc whoami /groupsphản ánh nhóm mới) . Tôi đã kiểm tra thay đổi trên nhóm được sao chép qua tất cả các DC.
curropar

Chà, theo Shellandco.net/blog/2016/07/07/ , tôi đã không tìm thấy bất kỳ kiểm tra nào phản ánh tư cách thành viên mới, nhưng nó thực sự được áp dụng. Điều này đúng với trường hợp của tôi: Bây giờ tôi có thể thực hiện hành động tùy thuộc vào nhóm mới, cảm ơn !!
curropar

2

Tôi nghĩ rằng việc phục hồi dịch vụ netlogon cũng làm điều tương tự, không chắc tác động tổng thể sẽ là gì. Khá chắc chắn rằng người dùng sẽ tạm thời ngắt kết nối người dùng.


Đối với máy trạm Windows 7, đây là một giải pháp mà không cần khởi động lại
321X

Theo kinh nghiệm của tôi, khởi động lại dịch vụ không ảnh hưởng đến thành viên nhóm.
PHLiGHT

-1

Trên miền của tôi chỉ hoạt động này cho một ổ đĩa mạng:

@echo off
net use M: /d /y
gpupdate /force
net use M: \\10.11.12.233\Archivos /persistent:Yes
explorer.exe M:
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.