グループメンバーシップの変更をクライアントで強制的に更新する方法はありますか?
主にファイルサーバーとして使用されているWindowsServer 2012R2ドメインコントローラーを使用しています。このネットワーク上のクライアントは、ほとんどがドメインユーザーではありませんが、代わりにドメインユーザーアカウントを使用して、ファイルサーバー共有へのネットワークドライブマッピングを認証します。
これらのドメインユーザーアカウントは、ファイルサーバーの共有内のさまざまなフォルダーにさまざまなレベルのNTFSアクセス許可を提供します。これを行うには、NTFSアクセス許可がドメインユーザーグループレベルで設定され、ドメインユーザーは必要に応じてこれらのグループに一時的に追加または削除されます。
私が気付いているのは、ユーザーが追加のアクセス権限を付与するグループに追加された場合(または、実際にユーザーがグループから削除されてアクセス権限を失った場合)、これらの権限の変更は、クライアントコンピューター(Windows 7 Professionalで監視)が再起動されました(したがって、おそらく、対応するマップされたドライブのキャッシュされたアクセストークンが更新されました)。
管理者は、ユーザーがグループに追加またはグループから削除されるとすぐに、これらのアクセストークンを強制的に更新して、コンピューターを再起動せずに新しいアクセス権限をすぐに有効にすることができます。
これを強制することは可能ですか?もしそうなら、どのように?
簡単な答えはノーです。ログオフ/ログオンまたは再起動せずにKerberosアクセストークンを更新するための明確な方法はありません。新しいグループのSIDはトークンに追加する必要があり、それらのイベントでのみ実行されます。
Web上の多くの記事が示唆するように、klist purgeを使用してみることができますが、これを試みる私の努力はうまくいきませんでした。
klist purgeは確かに大部分のもの、特に共有フォルダへの権利の変更に対して機能します。これには注意する必要があります。これはセッション固有であるため、同じシステム上であっても、別のユーザーのアカウントから実行しても機能しません。ログオンしたユーザーのコンテキストでこれを実行することをお勧めします。私は個人的にこれを誰かの机に座っているときにのみ使用するので(これはヘルプデスクの状況のためであると仮定して)、テストが簡単です。