Estou em um domínio do Active Directory, remotamente em um servidor no qual minha conta de domínio está no grupo Administradores.
Alguém me remove desse grupo de administradores enquanto ainda estou conectado. No entanto, ainda mantenho todos os meus direitos de administrador até fazer o logoff.
Isso parece contra-intuitivo, então eu me pergunto se há algo que eu estou sentindo falta? Eu vi a pergunta sobre logoff de emergência - esta é minha única opção, ou existem outras maneiras de forçar pelo menos uma permissão atualizar para o usuário para que, embora ainda possam estar logados, pelo menos eles não tenham mais direitos de administrador?
Não - as permissões de administrador são devidas a uma participação no grupo.
Uma associação de grupo é armazenada no ticket kerberos de um usuário, que persistirá até que seja desconectado ou que o ticket expire e seja renovado (seu tempo de vida é de 10 horas por padrão, mas pode ser personalizado em seu domínio).
Fazer logoff ou aguardar a expiração é a única maneira de remover os membros do grupo que concedem direitos de administrador.