Estou trabalhando com um controlador de domínio do Windows Server 2012 R2 que está sendo usado principalmente como um servidor de arquivos. Os clientes dessa rede geralmente não são usuários de domínio, mas usam contas de usuário de domínio para autenticar um mapeamento de unidade de rede para os compartilhamentos de servidor de arquivos.
Essas contas de usuário de domínio, por sua vez, fornecem diferentes níveis de permissões de acesso NTFS para diferentes pastas nos compartilhamentos do servidor de arquivos. Para fazer isso, a permissão de acesso NTFS é definida no nível do grupo de usuários do domínio e os usuários do domínio são adicionados ou removidos temporariamente desses grupos conforme necessário.
O que estou percebendo é que, quando um usuário é adicionado a um grupo que lhes concede privilégios de acesso adicionais (ou mesmo quando são removidos de um grupo e perdem privilégios de acesso), essas alterações de privilégio não entram em vigor até que um computador cliente (observado no Windows 7 Professional) tenha sido reiniciado (e, portanto, presumivelmente, o token de acesso em cache da unidade mapeada correspondente foi atualizado).
Como administrador, seria útil forçar uma atualização desses tokens de acesso assim que um usuário fosse adicionado ou removido de um grupo, de modo que seus novos privilégios de acesso entrassem em vigor imediatamente, sem precisar reiniciar o computador. .
Isso é possível de impor? E se sim, como?
A resposta direta é não. Não há nenhuma maneira definitiva que eu saiba para atualizar o token de acesso Kerberos sem logoff / logon ou reinicialização. O SID do novo grupo precisa ser adicionado ao token e só é feito nesses eventos.
Você pode tentar usar klist purge , como muitos artigos na Web sugerem, mas meus esforços para tentar isso não funcionaram.
klist purge realmente funciona para a grande maioria das coisas, especialmente alterações de direitos em pastas compartilhadas. Você precisa ter cuidado com isso. Como isso é específico da sessão, fazê-lo da conta de outro usuário - mesmo no mesmo sistema - não funcionará. Você deseja executar isso no contexto do usuário conectado. Eu pessoalmente usaria isso apenas quando estiver sentado na mesa de alguém (supondo que isso seja para situações de helpdesk), por isso é fácil de testar.