Por que às vezes é necessário fazer logoff e efetuar logon novamente, adicionando um grupo a um usuário

Navegue suas respostas
5

Nos sistemas Windows (particularmente no Windows Server 2008R2 que eu estou usando), às vezes, quando adiciono um usuário local a um grupo local, o usuário precisa fazer logoff e logon novamente antes que esse novo grupo seja registrado nele. .

Mas às vezes também, o registro do grupo é feito imediatamente ... sem o usuário ter que fazer o logoff e logar novamente.

por que isso acontece?

    
por user1034912 29.11.2013 / 04:02

2 respostas

9

Você menciona usuários e grupos locais, deixando assim de lado o Active Directory.

Você deve sempre precisar ser autenticado novamente para que o token de segurança do usuário contenha a nova associação ao grupo. Isso normalmente significa que você precisa fazer o login novamente. O LSASS apenas entrega este token quando o usuário autentica, o que é geralmente apenas no logon, mas você pode fazer algo como C:\> runas /user:Yourself cmd.exe e isso solicitará sua senha e você passará pela autenticação novamente e a nova adesão ao grupo será escolhida. (Mas não posso garantir que qualquer outro aplicativo em execução que possa ter consultado os membros do seu grupo atualizará seus dados sem reiniciar esses aplicativos, etc.)

(Não mencionando klist.exe porque estamos falando apenas de usuários e grupos locais.)

Este artigo é praticamente a autoridade sobre o assunto.

When a user is authenticated, the Local Security Authority (LSA) creates an access token — in this case, a primary access token — for that user. An access token contains a security identifier (SID) for the user, all of the SIDs for the groups to which the user belongs, and the user’s privileges. If you add a user to a group after the user’s access token has been issued, or modify privileges assigned to the user account, the user must log off and then log on again before the access token will be updated.

Whenever a thread or process interacts with a securable object or tries to perform a system task that requires privileges, the operating system checks the effective access token to determine its level of authorization. If a thread is impersonating, the effective token is usually taken to be the token on the thread. If a thread interacting with the securable object is not impersonating, then the token on the process is examined for the access decision.

Thus, there are two kinds of access tokens, primary and impersonation. Every process has a primary token that describes the security context of the user account associated with the process. A primary access token is typically assigned to a process to represent the default security information for that process. Impersonation access tokens, on the other hand, are usually used for client/server scenarios. Impersonation tokens enable a thread to execute in a security context that differs from the security context of the process that owns the thread.

    
por 29.11.2013 / 04:43
0

Este vídeo responde à pergunta link

O vídeo também resolve o problema de o usuário obter acesso a um recurso cuja associação ao grupo ao qual um indivíduo acabou de ser adicionado sem precisar fazer logoff e efetuar login novamente.

Aqui está o resumo da solução que evita o incômodo do logoff de login:

  • Abrir o prompt de comando Kill

  • Mate o processo explorer.exe (Ele só mata o Windows Explorer. Todos os seus outros aplicativos são seguros).

  • No prompt de comando, digite o seguinte comando: runas / user: DOMAIN \ explorer.exe

    • Você será solicitado a digitar sua senha. Digite sua senha.

No exemplo acima, o nome de usuário que você usaria é o mesmo que você já acessou.

    
por 19.12.2016 / 11:31

Tags

Evitar que um computador de domínio efetue logoff Provoca a perda de autenticação 'ps' e 'bin / bash su' na saída ps aux