Известный всем администраторам факт, что после добавления компьютера или пользователя в группу Active Directory, для обновления членства в группах и применения назначенных прав / политик, нужно перезагрузить компьютер (если в доменную группу добавлялась учетная запись компьютера) или перезайти в систему (для пользователя). Это связано с тем, что членство в группах AD обновляется при создании билета Kerberos, которое происходит при загрузке системы и при входе пользователя.
В некоторых случаях перезагрузка системы или logoff пользователя не выполним по производственным причинам. А воспользоваться полученным правами, доступом или применить новые политики нужно уже сейчас. Есть возможность обновить членство учетной записи в группах AD без перезагрузки или перерегистрации пользователя в системе.
Примечание . Описанная в данной статье методика будет работать только для сетевых сервисов, поддерживающих Kerberos аутентификацию. Службы, работающие только с NTLM аутентификацией по-прежнему требуют логофа + логона пользователя или перезагрузки Windows.
Список групп, в которых состоит текущий пользователь можно получить из командной строки с помощью команды:
Список групп, в которых состоит пользователь содержится в разделе The user is a part of the following security groups.
Сбросить текущие тикеты Kerberos без перезагрузки может утилита klist.exe . Klist включена в ОС Windows начиная с Windows 7, для XP и Windows Server 2003 устанавливается в составе Windows Server 2003 Resource Kit Tools.
Чтобы сбросить весь кэш тикетов Kerberos компьютера (локальной системы) и обновить членство компьютера в группах AD, нужно в командной строке с правами администратора выполнить команду:
klist -lh 0 -li 0x3e7 purge
Примечание . 0 x3 e7 — специальный идентификатор, указывающий на сессию локального компьютера (Local System).
После выполнения команды и обновления политик к компьютеру будут применены все политики, назначенные группе AD через Security Filtering.
Что касается пользователя. Допустим, доменная учетка пользователя была добавлена в группу Active Directory для доступа к файловому ресурсу. Естественно, доступ к каталогу без перелогина у пользователя не появится.
Сбросим все тикеты Kerberos пользователя командой:
Чтобы увидеть обновлённый список групп, нужно запустить новое окно командной строк и через , чтобы новый процесс был создан с новым токеном безопасности.
Допустим, группа AD пользователю назначалась для предоставления доступа к сетевому каталогу. Попробуйте обратиться к нем по FQDN имени (к примеру, \\msk-fs1.winitpro.loc\distr) и проверьте, что TGT тикет был обновлен:
Сетевой каталог, к которому был предоставлен доступ через группу AD, должен открыться без перелогина пользователя (!!! обязательно использовать FQDN имя).
Если у вас возникают следующие ошибки при входе по ЭЦП на торговые площадки, то у Вас установлен браузер Internet Explorer 11 , который некорректно работает с ЭЦП и другими компонентами, необходимыми для работы с электронными площадками. Для восстановления работы на электронных торговых площадках необходимо выполнить следующие действия: 1. Установите «КриптоПро ЭЦП Browserplug-in». а) Загрузите КриптоПро ЭЦП Browserplug-in и сохраните его на компьютере. б) Установите плагин, следуя инструкциям мастера установки. в) Перезапустите Internet Explorer (если он был у вас запущен). 2. Открываем меню Сервис — Параметры просмотра в режиме совместимости и вводим адрес http://etp.roseltorg.ru в строку добавить этот веб-сайт и нажимаем Добавить:
В списке веб-сайтов, для которых вы выбрали просмотр в режиме совместимости появится адрес roseltorg.ru
3. Заходим в личный кабинет площадки по ЭЦП. Данную процедуру можно повторить для всех сайтов, на которых есть проблемы со входом по ЭЦП. Если вышеперечисленные способы не дали результат, то для того чтобы восстановить работу на электронных торговых площадках необходимо откатить версию браузера Internet Explorer до 10 или 9 (данное решение не подходит для ОС Windows 8.1). Для удаления обновления Internet Explorer 11 рекомендуем выполнить следующие действия: 1. Нажмите кнопку Пуск, введите в поле поиска Программы и компоненты,
а затем щелкните ссылку Просмотр установленных обновлений в области слева.
2. В разделе Удаление обновления перейдите к Microsoft Windows.
Большое спасибо, Михаил, все сделали оперативно а главное понятно для меня… Так как мы с вами нашли общий язык. хотелось бы в дальнейшем так же продолжить связь именно с вами. Надеюсь на плодотворное сотрудничество.
Олеся Михайловна — генеральный директор
