1
Aktualisierung der Gruppenmitgliedschaft in laufender Benutzersitzung
Hi,
nach meinem Kenntnisstand muss sich ein Windows Benutzer neu anmelden, damit Änderungen an seiner direkten oder indirekten Gruppenmitgliedschaft wirken. Sprich, das Sitzungstoken, welches der Benutzer für seine lokale Anmeldung erhalten hat, wird nicht automatisch aktualisiert. Korrekt?
Ich hatte eben ein Gespräch mit einem externen Dienstleister, der der Meinung war, dass das nur für Mitgliedschaften in AD-Gruppen gelten würde, nicht jedoch für Mitgliedschaften eines AD-Users in lokalen Gruppen eines Member Computers. Also wenn man einen Benutzer zum Mitglied einer lokalen Gruppe macht oder ihn aus einer lokalen Gruppe entfernt während der Benutzer an dem betreffenden Computer angemeldet ist, dass das dann sofort wirken würde. Konkret im Zusammenhang mit Zugriffsberechtigungen für lokale Dateien.
Ich habe das prompt hinterher ausprobiert und nicht bestätigen können.
Ich kenne auch keinen Befehl oder eine API, mit welchem ich das auslösen könnte.
Liege ich da jetzt falsch oder doch der Dienstleister? Hat einer von Euch schon mal sowas gehört?
(getestet unter Windows Server 2008 R2)
E.
nach meinem Kenntnisstand muss sich ein Windows Benutzer neu anmelden, damit Änderungen an seiner direkten oder indirekten Gruppenmitgliedschaft wirken. Sprich, das Sitzungstoken, welches der Benutzer für seine lokale Anmeldung erhalten hat, wird nicht automatisch aktualisiert. Korrekt?
Ich hatte eben ein Gespräch mit einem externen Dienstleister, der der Meinung war, dass das nur für Mitgliedschaften in AD-Gruppen gelten würde, nicht jedoch für Mitgliedschaften eines AD-Users in lokalen Gruppen eines Member Computers. Also wenn man einen Benutzer zum Mitglied einer lokalen Gruppe macht oder ihn aus einer lokalen Gruppe entfernt während der Benutzer an dem betreffenden Computer angemeldet ist, dass das dann sofort wirken würde. Konkret im Zusammenhang mit Zugriffsberechtigungen für lokale Dateien.
Ich habe das prompt hinterher ausprobiert und nicht bestätigen können.
Ich kenne auch keinen Befehl oder eine API, mit welchem ich das auslösen könnte.
Liege ich da jetzt falsch oder doch der Dienstleister? Hat einer von Euch schon mal sowas gehört?
(getestet unter Windows Server 2008 R2)
E.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 286034
Url: https://administrator.de/contentid/286034
Printed on: April 25, 2024 at 16:04 o'clock
1 Comment
Hi.
Er liegt falsch.
Der Token wird bei der Anmeldung ausgetauscht. In Domänen (Kerberostickets) dauert es ein paar Stunden, dann werden die gewechselt, lokal nicht, soweit ich weiß. MIt 100%iger Sicherheit weiß ich, dass wenn Du einen Nutzer von Nutzer auf Admin lokal hochstufst (und umgekehrt) immer eine Neuanmeldung fällig ist. In Domänen (Kerberos) kann man über klist purge die Ticketerneuerung beschleunigen.
Er liegt falsch.
Der Token wird bei der Anmeldung ausgetauscht. In Domänen (Kerberostickets) dauert es ein paar Stunden, dann werden die gewechselt, lokal nicht, soweit ich weiß. MIt 100%iger Sicherheit weiß ich, dass wenn Du einen Nutzer von Nutzer auf Admin lokal hochstufst (und umgekehrt) immer eine Neuanmeldung fällig ist. In Domänen (Kerberos) kann man über klist purge die Ticketerneuerung beschleunigen.
