stefankittel
Goto Top

Gruppenmitgleidschaft ohne neu anmeldung übernehmen?

Hallo,

ich greife mal mein Suchergebnis aus 2008 auf.
Active Directory Rechte ohne neu anmeldung übernehmen?

Wie aktualisiert man die Gruppenmitgleidschaft eines Clients nach einer Änderung ohne den Client ab- und anzumelden?

Beispiel:
- Der Benutzer versucht auf ein Verzeichniss zuzugreifen
- Zugriff verweigert weil er nicht in der Gruppe ist
- Benutzer zur Gruppe hinzufügen
- Der Benutzer versucht auf ein Verzeichniss zuzugreifen
- Zugriff verweigert weil er angemblich nicht in der Gruppe ist

Wenn ich statt der Gruppe den User hinzufüge funktioniert es sofort.
Wenn sich der User ab- und gleich wieder anmeldet funktioniert es auch sofort.

Stefan

Content-Key: 636519

Url: https://administrator.de/contentid/636519

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: DerWoWusste
Lösung DerWoWusste 30.12.2020 um 12:38:13 Uhr
Goto Top
Hi.

Öffne als Nutzer die Kommandozeile und schreibe
klist purge
Damit werden seine Kerberos-Tickets gelöscht. Er zeiht sich beim nächsten Zugriffsversuch automatisch neue.
Mitglied: Inf1d3l
Inf1d3l 30.12.2020 um 12:40:43 Uhr
Goto Top
Aus Benutzersicht gibt es keine vernünftige Lösung, meiner Meinung nach (außer LogOff/Login).
Mitglied: Pjordorf
Pjordorf 30.12.2020 um 12:42:27 Uhr
Goto Top
Hallo,

Zitat von @StefanKittel:
Wie aktualisiert man die Gruppenmitgleidschaft eines Clients nach einer Änderung ohne den Client ab- und anzumelden?
Gar. Works as designed.
Ich schau auf meine Kontoauszug. Kein Geld. Ich bekomme 1 Million EUR Überwiesen. Mein mir vorliegender Kontoauszug zeigt immer noch "kein Geld". Was läuft schief bzw. was mache ich falsch?

Gruß,
Peter
Mitglied: michi1983
michi1983 30.12.2020 um 12:53:25 Uhr
Goto Top
Hi,

eher als Frage gedacht:
Würde ein
gpupdate /force
das gewünschte bewirken? Oder wäre das „overkill“ weil zu „viel“ neu gezogen werden würde?

Gruß
michi
Mitglied: jsysde
jsysde 30.12.2020 um 13:27:54 Uhr
Goto Top
Mahlzeit.

Was haben Gruppenrichtlinien mit Gruppenmitgliedschaften zu tun?
Richtig, gar nix.

Die Lösung von @DerWoWusste ist der richtige Weg - Kerberos-Tickets killen und neu erstellen lassen. Mit allen Risiken und Nebenwirkungen.

Cheers,
jsysde
Mitglied: jsysde
jsysde 30.12.2020 aktualisiert um 13:36:37 Uhr
Goto Top
Mahlzeit.

Zitat von @StefanKittel:
[...]Wenn ich statt der Gruppe den User hinzufüge funktioniert es sofort.
Wenn sich der User ab- und gleich wieder anmeldet funktioniert es auch sofort.
Expected behaviour. Bei der Anmeldung bekommt der User ein Ticket ausgestellt, dass seine SID und die SIDs aller Gruppen beinhaltet, in denen er Mitglied ist. Fügst du den User einer Gruppe hinzu, steht die Gruppen-SID in der ACL. Das bereits ausgestellte Ticket "weiß" davon nix, es aktualisiert sich bei der nächsten Anmeldung. Fügst du den User direkt hinzu, steht er mit seiner SID in der ACL. Und diese SID ist ja Bestandteil des ausgestellten und aktuell gültigen Tickets.

So ^^ funktioniert das, sehr vereinfacht dargestellt. Kerberos ist natürlich deutlich umfangreicher als die paar Zeilen, aber darüber gibt es ganze Bücher... face-wink

Cheers,
jsysde
Mitglied: StefanKittel
StefanKittel 30.12.2020 um 14:25:25 Uhr
Goto Top
Hallo,

funktioniert.
Ich habe mal eine entsprechende Batch-Datei auf dem Server angelegt.

Stefan
Mitglied: michi1983
michi1983 30.12.2020 um 14:43:03 Uhr
Goto Top
Zitat von @jsysde:

Mahlzeit.
Ebenso.

Was haben Gruppenrichtlinien mit Gruppenmitgliedschaften zu tun?
Richtig, gar nix.
Wie gesagt, das war als Frage gedacht. Ich bin in Windows nicht wirklich unterwegs.
Aber danke für die Erklärung.

Cheers,
jsysde
Gruß
michi
Mitglied: emeriks
emeriks 01.01.2021 um 14:37:31 Uhr
Goto Top
Hi,
man muss hier unterscheiden, wo der Zugriff erfolgen soll.
Wenn man z.B. mit einem Benutzer bereits interaktiv angemeldet ist und dann erst dessen Gruppenmitgliedschaft geändert wird, dann kann es sein, dass beim Zugriff über Netzwerk auf eine Ressource eines anderen Computers im Netzwerk diese geänderte Mitgliedschaft sofort wirkt, auch ohne Neuanmeldung am Client oder "klist purge". Das hängt davon ab, ob man vor der Änderung der Mitgliedschaft in der laufenden Sitzung bereits eine Verbindung mit der betreffenden Ressource hergestellt hatte oder nicht, oder ob eine bereits bestehende Verbindung inzwischen wegen Leerlauf schon abgelaufen ist.
Das gilt übrigens auch umgekehrt: Wenn man einen Benutzer aus einer Gruppe entfernt, über welche er z.B. Zugriff auf bestimmte Verzeichnisse und Dateien hatte, und der Benutzer war zu diesem Zeitpunkt bereits angemeldet und hatte schon eine Verbindung zum betreffenden Fileserver hergestellt, dann hat er in der laufenden Sitzung weiterhin Zugriff auf diese Dateien! Und das u.U. noch über einen längeren Zeitraum, wenn die Sitzung mit dem Fileserver nicht wegen Leerlaufs beendet wird. Das muss man beachten, wenn man z.B. im Rahmen einer Notfallmaßnahme einem Benutzer partiell Zugriffsrechte entziehen will/muss. Hier muss man dann entweder die Abmeldung der laufenden interaktiven Sitzung des Benutzers erzwingen (z.B. durch remote ausgelösten Zwangsboot des Clients) oder am Fileserver die bestehende Sitzung des Benutzers löschen. Wenn er wieder zuzugreifen versucht, dann wird am Fileserver eine neue Sitzung erzeugt, welche dann erst die geänderte Mitgliedschaft widerspiegelt.

E.