Как очистить кеш, который используется AuthzGetInformationFromContext API?

Question

У меня есть домен, и я использую API-интерфейс AuthzGetInformationFromContext на клиентском компьютере для получения sid групп, к которым принадлежит пользователь.

Работает нормально.Однако, если я добавлю пользователя в какую-либо группу или удалю его из какой-либо группы на контроллере домена, этот API все равно покажет старый список групп.В случае, если я буду ждать 10 минут или более, он покажет обновленный список групп.

Я попытался сделать это на разных компьютерах и увидел, что приложение покажет обновленный список групп в разное время.,Таким образом, это не кэш контроллера домена.

Кроме того, мои приложения закрываются и запускаются снова.Таким образом, это также не кэш уровня приложения.

Итак, я полагаю, что существует некоторый кэш на уровне компьютера для членства в группах (получаемый через этот API).

Кто-нибудь знает, как очистить этот кэш программным способом?или измените некоторые настройки, чтобы уменьшить этот 10-минутный интервал на что-то более короткое.

Answer 1

Согласование с этой публикацией и Проблемы аутентификации Kerberos - Проблемы с именем участника службы (SPN) - Часть 1 . Вы можете удалить Kerberos TGT (и все ваши билеты службы) с помощью чего-либо как klist purge (инструмент присутствует в Windows Seven). Вы должны запустить инструмент локально на компьютере, на котором зарегистрирован пользователь.

Вы можете найти источник Klist.exe в Windows Platform SDK (API у нас LsaCallAuthenticationPackage)

C:\Program Files\Microsoft SDKs\Windows\v7.0\Samples\security\authorization\klist