De ce mașinile de domeniu Windows nu interoghează periodic apartenența la grupuri de securitate, ca și alte lucruri?

WakeDemons3

08.11.2022, 16:51

Când eram în suportul de nivel inferior (și uneori încă), una dintre cele mai enervante secvențe de evenimente a fost o solicitare pentru noi permisiuni pentru fișiere >> adăugați utilizator la grupul de securitate și specificați în răspuns „trebuie să vă deconectați și din nou în mașina dvs. ". 20 de minute mai târziu, „ÎNCĂ MI EST NECESAT PERMISIUNEA!!”. Pentru că nu te-ai deconectat și te-ai reconectat

De ce mașinile Windows dintr-un domeniu AD nu interogează și actualizează periodic apartenența la grupul de utilizatori, așa cum o fac pentru politicile de grup și multe alte lucruri?

1 + 0

firewall

domeniu

grupuri de securitate

Puncte:3

Server

slightly_toasted

08.11.2022, 18:42

Necesitatea deconectarii se datorează faptului că apartenența la grupul AD se actualizează numai atunci când este creat un bilet Kerberos, ceea ce are loc în timpul conectării.

Puteți reîmprospăta biletul Kerberos al unui computer rulând klist -li 0:0x3e7 purge pe o linie de comandă ridicată, urmată de gpupdate /force dacă trebuie să actualizați politica de grup.

Referinta: http://woshub.com/how-to-refresh-ad-groups-membership-without-user-logoff/

0 + 2

WakeDemons3

08.11.2022, 19:00

Voi selecta acest răspuns pentru că este literalmente adevărat. Dar mi-am dorit mai mult „de ce”. De ce PC-ul nu efectuează această curățare și actualizare de bilet kerberos ca proces de fundal, la fel ca în cazul GPO-urilor (la fiecare 90 de minute), sau a listelor DNS, sau a NTP etc.

Răspunde

slightly_toasted

08.11.2022, 19:30

@WakeDemons3 Aș presupune că are de-a face cu compromisul dintre utilizarea resurselor (în mare parte CPU) pentru a regenera biletul Kerberos, înmulțit cu toate conturile conectate pe domeniu. Vs. Cauzând un mic inconvenient atunci când are loc o schimbare de membru al grupului. De asemenea, din cauza faptului că Kerberos este apatrid, nu ar fi posibil ca AD să declanșeze o regenerare a biletelor la schimbarea calității de membru.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Why don't Windows domain machines periodically query security group membership, like other things?

TH: เหตุใดเครื่องโดเมน Windows จึงไม่สอบถามการเป็นสมาชิกกลุ่มความปลอดภัยเป็นระยะๆ เหมือนอย่างอื่น

RO: De ce mașinile de domeniu Windows nu interoghează periodic apartenența la grupuri de securitate, ca și alte lucruri?

RU: Почему компьютеры домена Windows периодически не запрашивают членство в группе безопасности, как и другие вещи?

VI: Tại sao các máy miền Windows không định kỳ truy vấn tư cách thành viên nhóm bảo mật, giống như những thứ khác?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.