9
Gruppenmitgleidschaft ohne neu anmeldung übernehmen?
Hallo,
ich greife mal mein Suchergebnis aus 2008 auf.
Active Directory Rechte ohne neu anmeldung übernehmen?
Wie aktualisiert man die Gruppenmitgleidschaft eines Clients nach einer Änderung ohne den Client ab- und anzumelden?
Beispiel:
- Der Benutzer versucht auf ein Verzeichniss zuzugreifen
- Zugriff verweigert weil er nicht in der Gruppe ist
- Benutzer zur Gruppe hinzufügen
- Der Benutzer versucht auf ein Verzeichniss zuzugreifen
- Zugriff verweigert weil er angemblich nicht in der Gruppe ist
Wenn ich statt der Gruppe den User hinzufüge funktioniert es sofort.
Wenn sich der User ab- und gleich wieder anmeldet funktioniert es auch sofort.
Stefan
ich greife mal mein Suchergebnis aus 2008 auf.
Active Directory Rechte ohne neu anmeldung übernehmen?
Wie aktualisiert man die Gruppenmitgleidschaft eines Clients nach einer Änderung ohne den Client ab- und anzumelden?
Beispiel:
- Der Benutzer versucht auf ein Verzeichniss zuzugreifen
- Zugriff verweigert weil er nicht in der Gruppe ist
- Benutzer zur Gruppe hinzufügen
- Der Benutzer versucht auf ein Verzeichniss zuzugreifen
- Zugriff verweigert weil er angemblich nicht in der Gruppe ist
Wenn ich statt der Gruppe den User hinzufüge funktioniert es sofort.
Wenn sich der User ab- und gleich wieder anmeldet funktioniert es auch sofort.
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 636519
Url: https://administrator.de/contentid/636519
Printed on: April 23, 2024 at 08:04 o'clock
9 Comments
Latest comment
Hi.
Öffne als Nutzer die Kommandozeile und schreibe
klist purge
Damit werden seine Kerberos-Tickets gelöscht. Er zeiht sich beim nächsten Zugriffsversuch automatisch neue.
Öffne als Nutzer die Kommandozeile und schreibe
klist purge
Damit werden seine Kerberos-Tickets gelöscht. Er zeiht sich beim nächsten Zugriffsversuch automatisch neue.
2
Aus Benutzersicht gibt es keine vernünftige Lösung, meiner Meinung nach (außer LogOff/Login).
Hallo,
Ich schau auf meine Kontoauszug. Kein Geld. Ich bekomme 1 Million EUR Überwiesen. Mein mir vorliegender Kontoauszug zeigt immer noch "kein Geld". Was läuft schief bzw. was mache ich falsch?
Gruß,
Peter
Zitat von @StefanKittel:
Wie aktualisiert man die Gruppenmitgleidschaft eines Clients nach einer Änderung ohne den Client ab- und anzumelden?
Gar. Works as designed.Wie aktualisiert man die Gruppenmitgleidschaft eines Clients nach einer Änderung ohne den Client ab- und anzumelden?
Ich schau auf meine Kontoauszug. Kein Geld. Ich bekomme 1 Million EUR Überwiesen. Mein mir vorliegender Kontoauszug zeigt immer noch "kein Geld". Was läuft schief bzw. was mache ich falsch?
Gruß,
Peter
Hi,
eher als Frage gedacht:
Würde ein das gewünschte bewirken? Oder wäre das „overkill“ weil zu „viel“ neu gezogen werden würde?
Gruß
michi
eher als Frage gedacht:
Würde ein
gpupdate /forceGruß
michi
Mahlzeit.
Was haben Gruppenrichtlinien mit Gruppenmitgliedschaften zu tun?
Richtig, gar nix.
Die Lösung von @DerWoWusste ist der richtige Weg - Kerberos-Tickets killen und neu erstellen lassen. Mit allen Risiken und Nebenwirkungen.
Cheers,
jsysde
Was haben Gruppenrichtlinien mit Gruppenmitgliedschaften zu tun?
Richtig, gar nix.
Die Lösung von @DerWoWusste ist der richtige Weg - Kerberos-Tickets killen und neu erstellen lassen. Mit allen Risiken und Nebenwirkungen.
Cheers,
jsysde
1
Mahlzeit.
So ^^ funktioniert das, sehr vereinfacht dargestellt. Kerberos ist natürlich deutlich umfangreicher als die paar Zeilen, aber darüber gibt es ganze Bücher...
Cheers,
jsysde
Zitat von @StefanKittel:
[...]Wenn ich statt der Gruppe den User hinzufüge funktioniert es sofort.
Wenn sich der User ab- und gleich wieder anmeldet funktioniert es auch sofort.
Expected behaviour. Bei der Anmeldung bekommt der User ein Ticket ausgestellt, dass seine SID und die SIDs aller Gruppen beinhaltet, in denen er Mitglied ist. Fügst du den User einer Gruppe hinzu, steht die Gruppen-SID in der ACL. Das bereits ausgestellte Ticket "weiß" davon nix, es aktualisiert sich bei der nächsten Anmeldung. Fügst du den User direkt hinzu, steht er mit seiner SID in der ACL. Und diese SID ist ja Bestandteil des ausgestellten und aktuell gültigen Tickets.[...]Wenn ich statt der Gruppe den User hinzufüge funktioniert es sofort.
Wenn sich der User ab- und gleich wieder anmeldet funktioniert es auch sofort.
So ^^ funktioniert das, sehr vereinfacht dargestellt. Kerberos ist natürlich deutlich umfangreicher als die paar Zeilen, aber darüber gibt es ganze Bücher...
Cheers,
jsysde
Hallo,
funktioniert.
Ich habe mal eine entsprechende Batch-Datei auf dem Server angelegt.
Stefan
funktioniert.
Ich habe mal eine entsprechende Batch-Datei auf dem Server angelegt.
Stefan
Ebenso.
Aber danke für die Erklärung.
michi
Was haben Gruppenrichtlinien mit Gruppenmitgliedschaften zu tun?
Richtig, gar nix.
Wie gesagt, das war als Frage gedacht. Ich bin in Windows nicht wirklich unterwegs.Richtig, gar nix.
Aber danke für die Erklärung.
Cheers,
jsysde
Grußjsysde
michi
Hi,
man muss hier unterscheiden, wo der Zugriff erfolgen soll.
Wenn man z.B. mit einem Benutzer bereits interaktiv angemeldet ist und dann erst dessen Gruppenmitgliedschaft geändert wird, dann kann es sein, dass beim Zugriff über Netzwerk auf eine Ressource eines anderen Computers im Netzwerk diese geänderte Mitgliedschaft sofort wirkt, auch ohne Neuanmeldung am Client oder "klist purge". Das hängt davon ab, ob man vor der Änderung der Mitgliedschaft in der laufenden Sitzung bereits eine Verbindung mit der betreffenden Ressource hergestellt hatte oder nicht, oder ob eine bereits bestehende Verbindung inzwischen wegen Leerlauf schon abgelaufen ist.
Das gilt übrigens auch umgekehrt: Wenn man einen Benutzer aus einer Gruppe entfernt, über welche er z.B. Zugriff auf bestimmte Verzeichnisse und Dateien hatte, und der Benutzer war zu diesem Zeitpunkt bereits angemeldet und hatte schon eine Verbindung zum betreffenden Fileserver hergestellt, dann hat er in der laufenden Sitzung weiterhin Zugriff auf diese Dateien! Und das u.U. noch über einen längeren Zeitraum, wenn die Sitzung mit dem Fileserver nicht wegen Leerlaufs beendet wird. Das muss man beachten, wenn man z.B. im Rahmen einer Notfallmaßnahme einem Benutzer partiell Zugriffsrechte entziehen will/muss. Hier muss man dann entweder die Abmeldung der laufenden interaktiven Sitzung des Benutzers erzwingen (z.B. durch remote ausgelösten Zwangsboot des Clients) oder am Fileserver die bestehende Sitzung des Benutzers löschen. Wenn er wieder zuzugreifen versucht, dann wird am Fileserver eine neue Sitzung erzeugt, welche dann erst die geänderte Mitgliedschaft widerspiegelt.
E.
man muss hier unterscheiden, wo der Zugriff erfolgen soll.
Wenn man z.B. mit einem Benutzer bereits interaktiv angemeldet ist und dann erst dessen Gruppenmitgliedschaft geändert wird, dann kann es sein, dass beim Zugriff über Netzwerk auf eine Ressource eines anderen Computers im Netzwerk diese geänderte Mitgliedschaft sofort wirkt, auch ohne Neuanmeldung am Client oder "klist purge". Das hängt davon ab, ob man vor der Änderung der Mitgliedschaft in der laufenden Sitzung bereits eine Verbindung mit der betreffenden Ressource hergestellt hatte oder nicht, oder ob eine bereits bestehende Verbindung inzwischen wegen Leerlauf schon abgelaufen ist.
Das gilt übrigens auch umgekehrt: Wenn man einen Benutzer aus einer Gruppe entfernt, über welche er z.B. Zugriff auf bestimmte Verzeichnisse und Dateien hatte, und der Benutzer war zu diesem Zeitpunkt bereits angemeldet und hatte schon eine Verbindung zum betreffenden Fileserver hergestellt, dann hat er in der laufenden Sitzung weiterhin Zugriff auf diese Dateien! Und das u.U. noch über einen längeren Zeitraum, wenn die Sitzung mit dem Fileserver nicht wegen Leerlaufs beendet wird. Das muss man beachten, wenn man z.B. im Rahmen einer Notfallmaßnahme einem Benutzer partiell Zugriffsrechte entziehen will/muss. Hier muss man dann entweder die Abmeldung der laufenden interaktiven Sitzung des Benutzers erzwingen (z.B. durch remote ausgelösten Zwangsboot des Clients) oder am Fileserver die bestehende Sitzung des Benutzers löschen. Wenn er wieder zuzugreifen versucht, dann wird am Fileserver eine neue Sitzung erzeugt, welche dann erst die geänderte Mitgliedschaft widerspiegelt.
E.
2
