none
计算机账号 加入安全组 客户端生效时间 RRS feed

  • 问题

  • 环境: 同一林域内, 单域 多站点

    现象:

    当将一个计算机账号 加入一个安全组之后, 如何操作或者需要等待多少时间才会让该计算机更新自己的所属组? 

    现象: 针对 安全组做了一个组策略,是关于 终端服务的,这个策略仅生效在 这个安全组中的成员

    现在测试发现:当一个计算机账号的所属组发生变化时,通过该计算机本地查看所属组没有变化,只有重启后才会生效。 

    问题:有不需要重启的方法吗? 或者需要多长时间能够生效

    2012年7月24日 7:49

答案

全部回复

  • 你说的“安全组”是OU吧。。。

    组策略哪可以Apply到安全组啊。。。只能是Site、Domain、OU。。。

    不重启即获取新策略,可以手动gpupdate /force嘛

    2012年7月24日 8:06
  • 不是ou

    在应用组策略的时候:

    在作用域下面有个安全筛选 “此GPO ”中的设置只应用下列组、用户和计算机

    2012年7月24日 8:11
  • 不是ou

    在应用组策略的时候:

    在作用域下面有个安全筛选 “此GPO ”中的设置只应用下列组、用户和计算机

    嗯,严格讲,这是组策略GPT的安全过滤,没问题。

    gpupdate /force应该还是可以帮你立即应用新Ploicy

    2012年7月24日 8:13
  • 的确。 我现在是测试两个服务器 , 一个 在这个安全组内,一个在不在,  但是只要 有变化后不重启有变化的服务器, 策略就应用不对。 

    感觉很奇怪。 

    当加到 安全组后,使用gpresult 收集时  看到 重启前的计算机所属组中无这个组, 重启后正常

    从这个组删除后也是这样。 

    您有啥好办法吗?

    2012年7月24日 8:19
  • 补充一下:一般组策略会在0~90分钟内随机刷新。当然如楼上所说gpupdate /force是实时的:)

    在IT的路上,You'll never walk alone

    2012年7月24日 8:23
  • 这个应该是计算机获得的Security Token没被更新,只有当重启时才会重新进行一次Kerberos验证并拿到新的Token。

    可以使用SYSTEM身份(通过计划任务或psexec)执行klist工具来重拿Token

    参考文档:

    Update Computer Account Group Membership without Rebooting

    http://blogs.msdn.com/b/jamoyer/archive/2008/01/30/update-computer-account-group-membership-without-rebooting.aspx


    • 已编辑 Finy 2012年7月24日 8:25
    • 已标记为答案 changming.dong 2012年7月24日 8:50
    2012年7月24日 8:25
  • 您是神啊,帮了我的大忙了 。 

    我 看看资料 先 

    2012年7月24日 8:26
  • 您是神啊,帮了我的大忙了 。 

    我 看看资料 先 


    要不,给神发个工资?哈哈
    2012年7月24日 8:27
  • 不知道您在那里

    我想 如果有机会请您吃饭绝对没问题。 

    48962996

    2012年7月24日 8:30
  • 哈,客气了

    2012年7月24日 8:37
  • 这个应该是计算机获得的Security Token没被更新,只有当重启时才会重新进行一次Kerberos验证并拿到新的Token。

    可以使用SYSTEM身份(通过计划任务或psexec)执行klist工具来重拿Token

    参考文档:

    Update Computer Account Group Membership without Rebooting

    http://blogs.msdn.com/b/jamoyer/archive/2008/01/30/update-computer-account-group-membership-without-rebooting.aspx


    08 系统时 必须使用 klist -lh 0 -li 0x3e7 才生效。 刚验证完。 

    How to refresh Windows 2008 R2 computer group membership without reboot using klist

    There are many cases where it is useful to force a server to refresh its group membership without restarting the server.  This is a simple task using the klist.exe utility on Windows 2008 R2.  In an elevated command prompt:
    Retrieve the current list of tickets for the computer account 
    klist -lh 0 -li 0x3e7
    Clear the current list of tickets for the computer account 
    klist -lh 0 -li 0x3e7 purge
    Note that the syntax of this command is different than reported in many posts on the internet that were created prior to the release of Windows 2008 R2.  In Windows 2008 R2 the lh parameter is now required.  If the lh parameter is not specified, klist will return the usage.

    2012年7月24日 8:50
  • 真心不是客气。 

    不介意的话您加我的q 吧。 

    我在北京。 有机会请您一起吃饭,聊天,算我高攀您做个朋友。 

    2012年7月24日 8:51
  • 这个应该是计算机获得的Security Token没被更新,只有当重启时才会重新进行一次Kerberos验证并拿到新的Token。

    可以使用SYSTEM身份(通过计划任务或psexec)执行klist工具来重拿Token

    参考文档:

    Update Computer Account Group Membership without Rebooting

    http://blogs.msdn.com/b/jamoyer/archive/2008/01/30/update-computer-account-group-membership-without-rebooting.aspx


    08 系统时 必须使用 klist -lh 0 -li 0x3e7 才生效。 刚验证完。 

    How to refresh Windows 2008 R2 computer group membership without reboot using klist

    There are many cases where it is useful to force a server to refresh its group membership without restarting the server.  This is a simple task using the klist.exe utility on Windows 2008 R2.  In an elevated command prompt:
    Retrieve the current list of tickets for the computer account 
    klist -lh 0 -li 0x3e7
    Clear the current list of tickets for the computer account 
    klist -lh 0 -li 0x3e7 purge
    Note that the syntax of this command is different than reported in many posts on the internet that were created prior to the release of Windows 2008 R2.  In Windows 2008 R2 the lh parameter is now required.  If the lh parameter is not specified, klist will return the usage.


    果然!NT6上自带的klist又增强了。。。长见识。。。
    2012年7月24日 8:54
  • 真心不是客气。 

    不介意的话您加我的q 吧。 

    我在北京。 有机会请您一起吃饭,聊天,算我高攀您做个朋友。 


    呵呵,您太客气了
    2012年7月24日 8:58