none
win2016 域控环境下禁用某域用户后,文件夹共享权限不能立即被禁止。 RRS feed

  • 问题

  • AD服务器WIN2016  客户端WIN10

    管理员已经禁用了某用户的域账户,但是发现这个在账户已经登陆的前提下,仍然可以访问原来有权限访问的共享文件夹;除非在客户端上注销再重新登陆或者重启客户端的情况下,该禁用才生效。

    请问有什么方法可以让被禁用的账户立即生效,不能再访问共享文件夹。



    2019年12月9日 5:34

答案

  • 尊敬的用户,您好;

    根据您的问题描述,您想找到最快的方法让被禁用的账户立即不能再访问共享给他们的共享文件夹;



    从我的实验来看,目前有效的办法应该有两个:

    第一个就是您提到的在客户端上注销再重新登入,或者重启客户端;
    第二个就是把这个指定用户的共享权限或者NTFS权限取消。


    同时,我们这个问题应该与Kerberos验证有关系,如果Kerberos验证成功后,服务会专门为用户创建一个访问令牌(access token),这个访问令牌中会有此用户的成员关系信息和对各种各样的权限(例如,是否有权访问一个共享文件夹的权限)。
    当客户端请求访问共享文件夹时,系统会对比文件夹的权限与此用户的访问令牌的权限是否一致,如果权限一致,就允许访问,如果权限不一致,就会被拒绝。

    那么对于正常的用户登录会话,当用户注销时,就会刷新凭据缓存,并且销毁所有的服务票据和所有的会话密钥。如果对用户的权限或者对文件夹的权限作了更改,重新使用用户的账号登录客户端,用户就无法访问共享文件夹。
    或者关机重启,用户账户就无法登录,也无法访问此共享文件夹。

    综上所述,如果禁用某域用户后,想要文件夹共享权限立即被禁止,最快的最简单的方法就是注销用户账户。

    如需Kerberos如何验证的更详细的信息,请参考如下文档:
    How the Kerberos Version 5 Authentication Protocol Works

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc772815(v=ws.10)?redirectedfrom=MSDN

    Jolin 
    Best Regards,


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2019年12月10日 6:03

全部回复

  • 尊敬的用户,您好;

    根据您的问题描述,您想找到最快的方法让被禁用的账户立即不能再访问共享给他们的共享文件夹;



    从我的实验来看,目前有效的办法应该有两个:

    第一个就是您提到的在客户端上注销再重新登入,或者重启客户端;
    第二个就是把这个指定用户的共享权限或者NTFS权限取消。


    同时,我们这个问题应该与Kerberos验证有关系,如果Kerberos验证成功后,服务会专门为用户创建一个访问令牌(access token),这个访问令牌中会有此用户的成员关系信息和对各种各样的权限(例如,是否有权访问一个共享文件夹的权限)。
    当客户端请求访问共享文件夹时,系统会对比文件夹的权限与此用户的访问令牌的权限是否一致,如果权限一致,就允许访问,如果权限不一致,就会被拒绝。

    那么对于正常的用户登录会话,当用户注销时,就会刷新凭据缓存,并且销毁所有的服务票据和所有的会话密钥。如果对用户的权限或者对文件夹的权限作了更改,重新使用用户的账号登录客户端,用户就无法访问共享文件夹。
    或者关机重启,用户账户就无法登录,也无法访问此共享文件夹。

    综上所述,如果禁用某域用户后,想要文件夹共享权限立即被禁止,最快的最简单的方法就是注销用户账户。

    如需Kerberos如何验证的更详细的信息,请参考如下文档:
    How the Kerberos Version 5 Authentication Protocol Works

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc772815(v=ws.10)?redirectedfrom=MSDN

    Jolin 
    Best Regards,


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2019年12月10日 6:03
  • 明白了 非常感谢回答
    2019年12月12日 2:02
  • 尊敬的客户,您好!

    不客气,很高兴我我们的回复对您有帮助。

    我们可以把有用的回复标记为答复。这对于正在查找类似问题的人将很有帮助。

    非常感谢您对微软的支持。一如既往,如果后期遇到什么其他问题,欢迎您随时上帖。我们很高兴协助您!
     
    祝您工作生活顺利!





    此致,
    Daisy Zhou

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年12月12日 4:21
    版主