Ανανεώστε τη συνδρομή ομάδων διαφημίσεων χωρίς επανεκκίνηση/αποσύνδεση

Αφού προσθέσετε έναν υπολογιστή ή έναν λογαριασμό χρήστη σε μια ομάδα ασφαλείας Active Directory, τα νέα δικαιώματα πρόσβασης ή τα νέα GPO δεν εφαρμόζονται αμέσως. Για να ενημερώσετε τη συμμετοχή στην ομάδα και να εφαρμόσετε τα εκχωρημένα δικαιώματα ή τις πολιτικές ομάδας, πρέπει να επανεκκινήσετε τον υπολογιστή ή να πραγματοποιήσετε αποσύνδεση και σύνδεση (για τον χρήστη). Αυτό συμβαίνει επειδή οι συνδρομές ομάδας AD ενημερώνονται μόνο όταν εκδίδεται το εισιτήριο Kerberos, κάτι που συμβαίνει κατά την εκκίνηση του συστήματος ή όταν ένας χρήστης ελέγχεται κατά τη σύνδεση.

Περιεχόμενα:

• Ενημερώστε το Computer Group Membership και το Kerberos Ticket χωρίς επανεκκίνηση
• Επαναφόρτωση συνδρομής ομάδων χρηστών χωρίς αποσύνδεση

Εάν δεν μπορείτε να επανεκκινήσετε αμέσως τον υπολογιστή ή να αποσυνδεθείτε από τον χρήστη, μπορείτε να ενημερώσετε τη συμμετοχή στην ομάδα AD του λογαριασμού χρησιμοποιώντας τοklist.exeεργαλείο. Αυτό το βοηθητικό πρόγραμμα σάς επιτρέπει να επαναφέρετε και να ανανεώσετε τα εισιτήρια Kerberos ενός υπολογιστή ή χρήστη.

Σημείωμα.Η μέθοδος που περιγράφεται σε αυτό το άρθρο λειτουργεί μόνο με υπηρεσίες δικτύου που υποστηρίζουν έλεγχο ταυτότητας Kerberos. Οι υπηρεσίες που λειτουργούν μόνο με έλεγχο ταυτότητας NTLM εξακολουθούν να απαιτούν αποσύνδεση + σύνδεση ενός χρήστη ή επανεκκίνηση των Windows.

Μπορείτε να παραθέσετε τις ομάδες ασφαλείας τομέα στις οποίες είναι μέλος ο τρέχων χρήστης με την εντολή:

whoami /groups

ή αποτέλεσμα GPR:

gpresult /r /scope user

Η λίστα των ομάδων στις οποίες είναι μέλος ο χρήστης εμφανίζεται στην ενότητα "Ο χρήστης είναι μέρος των παρακάτω ομάδων ασφαλείας".

Ενημερώστε το Computer Group Membership και το Kerberos Ticket χωρίς επανεκκίνηση

Μπορείτε να απαριθμήσετε τις ομάδες ασφαλείας στις οποίες είναι μέλος αυτός ο υπολογιστής με την εντολή

gpresult /r /scope computer

Ο υπολογιστής αποτελεί μέρος των παρακάτω ομάδων ασφαλείας

Μπορείτε να παραθέσετε τα αποθηκευμένα εισιτήρια Kerberos που ελήφθησαν από τον υπολογιστή, καθώς και την ημερομηνία παραλαβής τους και την ώρα της επόμενης ανανέωσης.

klist.exe -li 0x3e7

Σημείωμα. 0x3e7είναι ένα ειδικό αναγνωριστικό που οδηγεί σε μια περίοδο λειτουργίας του τοπικού υπολογιστή (τοπικό σύστημα).

Τώρα προσθέστε τον υπολογιστή στην ομάδα ασφαλείας AD (χρησιμοποιώντας το συμπληρωματικό πρόγραμμα ADUC ή με το PowerShell:Add-AdGroupMember -Identity grAVExclusionPC -Members wks-mns21$)

Για να εκκαθαρίσετε την προσωρινή μνήμη Kerberos του υπολογιστή και να ενημερώσετε τη συνδρομή στην ομάδα AD του υπολογιστή, εκτελέστε την εντολή (για Windows 7 και Windows Server 2008R2)

klist -lh 0 -li 0x3e7 purge

Ή για Windows 11/10/8 και Windows Server 2022/2019/2016:

klist –li 0x3e7 purge

Deleting all tickets:
Ticket(s) purged!

Ενημερώστε τις ρυθμίσεις πολιτικής ομάδας χρησιμοποιώντας τοgpupdate /forceεντολή. Όλες οι πολιτικές ομάδας που έχουν εκχωρηθεί στην ομάδα AD μέσω του Φιλτραρίσματος ασφαλείας θα εφαρμοστούν στον υπολογιστή χωρίς επανεκκίνηση.

Μπορείτε να χρησιμοποιήσετε την εντολή για να ελέγξετε πότε ένας υπολογιστής έχει λάβει νέα εισιτήρια Kerberos:

klist -li 0x3e7 tgt

Μετά την εκτέλεση της εντολής και την ενημέρωση των πολιτικών (μπορείτε να ενημερώσετε τις πολιτικές με τοgpupdate /forceεντολή), όλες οι πολιτικές ομάδας που έχουν εκχωρηθεί στην ομάδα AD μέσω του Φιλτραρίσματος ασφαλείας θα εφαρμοστούν στον υπολογιστή.

Εάν η πολιτική περιορισμού πρόσβασης LSA έχει ρυθμιστεί στον τομέα σας (για παράδειγμα, η πολιτική προγράμματος εντοπισμού σφαλμάτων που περιορίζει τη χρήση του SeDebugPrivilege), εάν εκτελείτε τοklist -li 0: 0x3e7 purgeεντολή, μπορείτε να λάβετε ένα σφάλμα: "Σφάλμα κατά την κλήση του API LsaCallAuthenticationPackage":

Current LogonId is 0:0x3d2de2
Targeted LogonId is 0:0x3e7
*** You must run this tool while being elevated, and you must have TCB or be a local admin.***
klist failed with 0xc0000001/-1073741823: {Operation Failed}
The requested operation was unsuccessful.

Σε αυτήν την περίπτωση, θα χρειαστεί να εκτελέσετε τη γραμμή εντολών εκ μέρους του NT AUTHORITYSYSTEM και να εκκαθαρίσετε την προσωρινή μνήμη εισιτηρίων Kerberos του υπολογιστή σας σε αυτήν την κονσόλα:

psexec -s -i -d cmd.exe–εκτελέστε το cmd για λογαριασμό του τοπικού συστήματος χρησιμοποιώντας το εργαλείο psexec.exe

klist purge– επαναφορά εισιτηρίου υπολογιστή

gpupdate /force– ενημέρωση GPO

Αυτή η μέθοδος ενημέρωσης της ιδιότητας μέλους ομάδας υπολογιστών είναι η μόνη λειτουργική επιλογή για την ενημέρωση των ρυθμίσεων GPO σε πελάτες που συνδέονται στο δίκτυό σας μέσω VPN, όπου ο χρήστης συνδέεται χρησιμοποιώντας κρυφά διαπιστευτήρια τομέα.

Επαναφόρτωση συνδρομής ομάδων χρηστών χωρίς αποσύνδεση

Μια άλλη εντολή χρησιμοποιείται για την ενημέρωση των εκχωρημένων ομάδων ασφαλείας Active Directory στην περίοδο λειτουργίας χρήστη. Για παράδειγμα, έχετε προσθέσει έναν χρήστη σε μια ομάδα ασφαλείας που παραχωρεί πρόσβαση σε έναν κοινόχρηστο φάκελο. Ο χρήστης δεν θα έχει πρόσβαση σε αυτόν τον φάκελο δικτύουχωρίς να αποσυνδεθείτε και να ενεργοποιήσετε ξανά.

Πρέπει να επαναφέρετε την κρυφή μνήμη Kerberos ενός χρήστη εάν θέλετε να ενημερώσετε τη λίστα με τις ομάδες ασφαλείας που έχουν εκχωρηθεί για αυτόν τον χρήστη. Ανοίξτε μια μη προνομιούχα γραμμή εντολών σε μια περίοδο λειτουργίας χρήστη (μην εκτελείτε το cmd σε λειτουργία διαχειριστή). Εκτελέστε την εντολή:

klist purge

Current LogonId is 0:0x5e3d69
Deleting all tickets:
Ticket(s) purged!

Για να δείτε την ενημερωμένη λίστα ομάδων, θα χρειαστεί να ανοίξετε μια νέα γραμμή εντολών χρησιμοποιώντας runas (έτσι ώστε η νέα διαδικασία να δημιουργηθεί με το νέο διακριτικό ασφαλείας).

Καταχωρίστε τις ομάδες χρηστών:

whoami /groups

Στο περιβάλλον Υπηρεσίες απομακρυσμένης επιφάνειας εργασίας (RDS) μπορείτε να επαναφέρετε τα εισιτήρια Kerberos για όλες τις περιόδους λειτουργίας απομακρυσμένου χρήστη ταυτόχρονα, χρησιμοποιώντας την ακόλουθη one-liner PowerShell:

Get-WmiObject Win32_LogonSession | Where-Object {$_.AuthenticationPackage -ne 'NTLM'} | ForEach-Object {klist.exe purge -li ([Convert]::ToString($_.LogonId, 16))}

Για να μπορέσει ο χρήστης να συνδεθεί στον κοινόχρηστο φάκελο δικτύου, πρέπει να επανεκκινήσετε το κέλυφος της Εξερεύνησης αρχείων με ένα νέο διακριτικό. (με μια νέα ομάδα ασφαλείας)

Διαβάστε επίσης:Καταργήστε την επιλογή Αποσύνδεση ή Αποσύνδεση από το μενού Έναρξη στα Windows

1. Ανοίξτε τη γραμμή εντολών.
2. Τερματισμός της διαδικασίας Εξερεύνηση αρχείων του τρέχοντος χρήστη:taskkill /f /im explorer.exe
3. Ξεκινήστε μια νέα διαδικασία Explorer χρησιμοποιώντας τα διαπιστευτήρια του λογαριασμού σας. Μπορείτε να χρησιμοποιήσετε το%USERDOMAIN%%USERNAME%μεταβλητές περιβάλλοντος ή καθορίστε τον τομέα και το όνομα χρήστη με μη αυτόματο τρόπο. Για παράδειγμα:runas /user:woshubjsmith explorer.exe
4. Εισαγάγετε τον κωδικό πρόσβασης του λογαριασμού σας.
5. Στη συνέχεια, η Εξερεύνηση αρχείων θα επανεκκινηθεί με ένα νέο διακριτικό πρόσβασης και θα μπορείτε να αποκτήσετε πρόσβαση στο φάκελο δικτύου με τα δικαιώματα της νέας ομάδας ασφαλείας.

Στην προηγούμενη μέθοδο, πρέπει να καθορίσετε ρητά τον κωδικό πρόσβασης του χρήστη για να ανανεώσετε τις ομάδες ασφαλείας στην Εξερεύνηση αρχείων των Windows. Εάν αυτό δεν είναι δυνατό, μπορείτε να δοκιμάσετε μια λύση.

Ας υποθέσουμε ότι ένας χρήστης προστέθηκε σε μια ομάδα AD για πρόσβαση σε έναν κοινόχρηστο φάκελο διακομιστή αρχείων. Προσπαθήστε να το έχετε πρόσβαση από αυτόσύντομο όνομα (NETBIOS)ήFQDN((!!! αυτό είναι σημαντικό). Για παράδειγμα, \lon-fs1.woshub.locInstall. Αλλά όχι με διεύθυνση IP.

Διαφορετικά εισιτήρια CIFS χρησιμοποιούνται για σύντομο όνομα διακομιστή (NAME) και πλήρες όνομα διακομιστή (FQDN). Εάν χρησιμοποιούσατε προηγουμένως το FQDN για πρόσβαση στον διακομιστή αρχείων, μετά την επαναφορά των εισιτηρίων στον πελάτη με την εντολή εκκαθάρισης klist, θα μπορείτε να αποκτήσετε πρόσβαση στον διακομιστή αρχείων χρησιμοποιώντας το NAME (ένα νέο εισιτήριο με νέες ομάδες ασφαλείας εκδίδεται την πρώτη φορά που αποκτάτε πρόσβαση στο κοινόχρηστο στοιχείο SMB). Το παλιό εισιτήριο FQDN εξακολουθεί να βρίσκεται στη διαδικασία της Εξερεύνησης αρχείων και δεν θα επαναφερθεί μέχρι να επανεκκινηθεί (όπως περιγράφεται παραπάνω).

Σε αυτό το σημείο, ένα νέο εισιτήριο Kerberos θα εκδοθεί στον χρήστη. Μπορείτε να ελέγξετε εάν το εισιτήριό σας TGT έχει ενημερωθεί:

klist tgt

(βλέπωCached TGT Start Timeαξία)

Ένας κοινόχρηστος φάκελος στον οποίο έχει παραχωρηθεί πρόσβαση μέσω της ομάδας ασφαλείας AD θα πρέπει να ανοίξει χωρίς να αποσυνδεθεί ο χρήστης.

Εκτελέστε τοwhoami /groupsεντολή για να διασφαλιστεί ότι ο χρήστης έχει λάβει ένα νέο TGT με μια ενημερωμένη λίστα ομάδων ασφαλείας χωρίς επανασύνδεση.

Για άλλη μια φορά, θα θέλαμε να σας υπενθυμίσουμε ότι αυτή η μέθοδος ενημέρωσης της ιδιότητας μέλους ομάδας ασφαλείας θα λειτουργεί μόνο για υπηρεσίες που υποστηρίζουν το Kerberos. Για υπηρεσίες με έλεγχο ταυτότητας NTLM, απαιτείται επανεκκίνηση υπολογιστή ή αποσύνδεση χρήστη για την ενημέρωση του διακριτικού.