Você menciona usuários e grupos locais, deixando assim de lado o Active Directory.
Você deve sempre precisar ser autenticado novamente para que o token de segurança do usuário contenha a nova associação ao grupo. Isso normalmente significa que você precisa fazer o login novamente. O LSASS apenas entrega este token quando o usuário autentica, o que é geralmente apenas no logon, mas você pode fazer algo como C:\> runas /user:Yourself cmd.exe
e isso solicitará sua senha e você passará pela autenticação novamente e a nova adesão ao grupo será escolhida. (Mas não posso garantir que qualquer outro aplicativo em execução que possa ter consultado os membros do seu grupo atualizará seus dados sem reiniciar esses aplicativos, etc.)
(Não mencionando klist.exe
porque estamos falando apenas de usuários e grupos locais.)
Este artigo é praticamente a autoridade sobre o assunto.
When a user is authenticated, the Local Security Authority (LSA) creates an access token — in this case, a primary access token — for that user. An access token contains a security identifier (SID) for the user, all of the SIDs for the groups to which the user belongs, and the user’s privileges. If you add a user to a group after the user’s access token has been issued, or modify privileges assigned to the user account, the user must log off and then log on again before the access token will be updated.
Whenever a thread or process interacts with a securable object or tries to perform a system task that requires privileges, the operating system checks the effective access token to determine its level of authorization. If a thread is impersonating, the effective token is usually taken to be the token on the thread. If a thread interacting with the securable object is not impersonating, then the token on the process is examined for the access decision.
Thus, there are two kinds of access tokens, primary and impersonation. Every process has a primary token that describes the security context of the user account associated with the process. A primary access token is typically assigned to a process to represent the default security information for that process. Impersonation access tokens, on the other hand, are usually used for client/server scenarios. Impersonation tokens enable a thread to execute in a security context that differs from the security context of the process that owns the thread.