Question

Я удаленно удаляю пользователя U из группы G. Но я должен выйти из системы и войти в систему пользователя U, чтобы убедиться, что разрешения для группы G больше не применяются к пользователю U.

Это на сервере Windows 2008.

Есть ли способ заставить все упражнение по вычислению разрешений (которое выполняется, когда пользователь входит в систему), когда пользователь вошел в систему?

Заранее спасибо.

Brian Desmond · Answer 1 · 20 сентября 2011

Вы можете удалить Kerberos TGT (и все ваши сервисные билеты), используя что-то вроде klist purge. Я не знаю, какие API вызывать, чтобы сделать это программно.

Это только обновит группы (и права) в вашем токене, когда вы получите доступ к удаленным ресурсам.

JPBlanc · Answer 2 · 19 сентября 2011

Список групп SID, к которым принадлежит пользователь, вычисляется в токене пользователя, который вставляется в его процессы, поэтому, на мой взгляд, вам нужен выход / выход из системы.

Вы можете найти источник Klist.exe, описанный @Brian Desmond, в Windows Platform SDK (API у нас LsaCallAuthenticationPackage)

C:\Program Files\Microsoft SDKs\Windows\v7.0\Samples\security\authorization\klist

Как заставить разрешение повторно подать заявку для вошедшего в систему пользователя в Windows AD без повторного входа в систему

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как заставить разрешение повторно подать заявку для вошедшего в систему пользователя в Windows AD без повторного входа в систему

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы