Почему компьютеры домена Windows периодически не запрашивают членство в группе безопасности, как и другие вещи?

WakeDemons3

08.11.2022, 16:51

Когда я был на более низком уровне поддержки (а иногда и до сих пор), одной из самых раздражающих последовательностей событий был запрос на новые права доступа к файлам >> добавить пользователя в группу безопасности и указать в ответе «вы должны выйти из системы и вернуться на свою машину». ". Через 20 минут "МНЕ ВСЕ ЕЩЕ ПОЛУЧАЮТ ОТКАЗ В РАЗРЕШЕНИИ!!". Потому что ты не вышел из системы и не вернулся

Почему компьютеры Windows в домене AD периодически не запрашивают и не обновляют членство в группе пользователей, как они это делают для групповых политик и многих других вещей?

1 + 0

брандмауэр

домен

группы безопасности

Рейтинг:3

Server

slightly_toasted

08.11.2022, 18:42

Необходимость выхода связана с тем, что членство в группах AD обновляется только при создании билета Kerberos, что происходит во время входа в систему.

Вы можете обновить билет Kerberos компьютера, запустив klist -li 0:0x3e7 очистка в командной строке с повышенными привилегиями, а затем gpupdate/сила если вам нужно обновить групповую политику.

Ссылка: http://woshub.com/how-to-refresh-ad-groups-membership-without-user-logoff/

0 + 2

WakeDemons3

08.11.2022, 19:00

Я собираюсь выбрать этот ответ, потому что это буквально правда. Но я больше хотел "почему". Почему ПК не выполняет очистку и обновление этого билета kerberos в качестве фонового процесса, как с объектами групповой политики (каждые 90 минут), списками DNS, NTP и т. д.

Ответить

slightly_toasted

08.11.2022, 19:30

@ WakeDemons3 Я предполагаю, что это связано с компромиссом между использованием ресурсов (в основном ЦП) для регенерации билета Kerberos, умноженным на все зарегистрированные учетные записи в домене. Против. Вызывает небольшие неудобства при изменении членства в группе. Кроме того, из-за того, что Kerberos не имеет состояния, AD не сможет инициировать регенерацию билета при изменении членства в учетной записи.

Ответить

Admin

Этот вопрос на других языках:

EN: Why don't Windows domain machines periodically query security group membership, like other things?

TH: เหตุใดเครื่องโดเมน Windows จึงไม่สอบถามการเป็นสมาชิกกลุ่มความปลอดภัยเป็นระยะๆ เหมือนอย่างอื่น

RO: De ce mașinile de domeniu Windows nu interoghează periodic apartenența la grupuri de securitate, ca și alte lucruri?

RU: Почему компьютеры домена Windows периодически не запрашивают членство в группе безопасности, как и другие вещи?

VI: Tại sao các máy miền Windows không định kỳ truy vấn tư cách thành viên nhóm bảo mật, giống như những thứ khác?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.