Remove From My Forums

win2016 域控环境下禁用某域用户后，文件夹共享权限不能立即被禁止。

问题
0

登录进行投票
AD服务器WIN2016 客户端WIN10

管理员已经禁用了某用户的域账户，但是发现这个在账户已经登陆的前提下，仍然可以访问原来有权限访问的共享文件夹；除非在客户端上注销再重新登陆或者重启客户端的情况下，该禁用才生效。

请问有什么方法可以让被禁用的账户立即生效，不能再访问共享文件夹。
- 已编辑 Rick.Zhou 2019年12月9日 5:35
2019年12月9日 5:34

回复

|

引用

答案

1

登录进行投票
尊敬的用户，您好；

根据您的问题描述，您想找到最快的方法让被禁用的账户立即不能再访问共享给他们的共享文件夹；

从我的实验来看，目前有效的办法应该有两个：

第一个就是您提到的在客户端上注销再重新登入，或者重启客户端；
第二个就是把这个指定用户的共享权限或者NTFS权限取消。

同时，我们这个问题应该与Kerberos验证有关系，如果Kerberos验证成功后，服务会专门为用户创建一个访问令牌（access token），这个访问令牌中会有此用户的成员关系信息和对各种各样的权限（例如，是否有权访问一个共享文件夹的权限）。
当客户端请求访问共享文件夹时，系统会对比文件夹的权限与此用户的访问令牌的权限是否一致，如果权限一致，就允许访问，如果权限不一致，就会被拒绝。

那么对于正常的用户登录会话，当用户注销时，就会刷新凭据缓存，并且销毁所有的服务票据和所有的会话密钥。如果对用户的权限或者对文件夹的权限作了更改，重新使用用户的账号登录客户端，用户就无法访问共享文件夹。
或者关机重启，用户账户就无法登录，也无法访问此共享文件夹。

综上所述，如果禁用某域用户后，想要文件夹共享权限立即被禁止，最快的最简单的方法就是注销用户账户。

如需Kerberos如何验证的更详细的信息，请参考如下文档:
How the Kerberos Version 5 Authentication Protocol Works

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc772815(v=ws.10)?redirectedfrom=MSDN
Jolin
Best Regards,

针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已编辑 Jolin LuMicrosoft contingent staff 2019年12月10日 6:04
- 已建议为答案 Daisy ZhouMicrosoft contingent staff, Moderator 2019年12月16日 6:42
- 已标记为答案 Rick.Zhou 2020年1月17日 3:08
2019年12月10日 6:03

回复

|

引用

全部回复

1

登录进行投票
尊敬的用户，您好；

根据您的问题描述，您想找到最快的方法让被禁用的账户立即不能再访问共享给他们的共享文件夹；

从我的实验来看，目前有效的办法应该有两个：

第一个就是您提到的在客户端上注销再重新登入，或者重启客户端；
第二个就是把这个指定用户的共享权限或者NTFS权限取消。

同时，我们这个问题应该与Kerberos验证有关系，如果Kerberos验证成功后，服务会专门为用户创建一个访问令牌（access token），这个访问令牌中会有此用户的成员关系信息和对各种各样的权限（例如，是否有权访问一个共享文件夹的权限）。
当客户端请求访问共享文件夹时，系统会对比文件夹的权限与此用户的访问令牌的权限是否一致，如果权限一致，就允许访问，如果权限不一致，就会被拒绝。

那么对于正常的用户登录会话，当用户注销时，就会刷新凭据缓存，并且销毁所有的服务票据和所有的会话密钥。如果对用户的权限或者对文件夹的权限作了更改，重新使用用户的账号登录客户端，用户就无法访问共享文件夹。
或者关机重启，用户账户就无法登录，也无法访问此共享文件夹。

综上所述，如果禁用某域用户后，想要文件夹共享权限立即被禁止，最快的最简单的方法就是注销用户账户。

如需Kerberos如何验证的更详细的信息，请参考如下文档:
How the Kerberos Version 5 Authentication Protocol Works

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc772815(v=ws.10)?redirectedfrom=MSDN
Jolin
Best Regards,

针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已编辑 Jolin LuMicrosoft contingent staff 2019年12月10日 6:04
- 已建议为答案 Daisy ZhouMicrosoft contingent staff, Moderator 2019年12月16日 6:42
- 已标记为答案 Rick.Zhou 2020年1月17日 3:08
2019年12月10日 6:03

回复

|

引用
0

登录进行投票

明白了非常感谢回答

2019年12月12日 2:02

回复

|

引用
0

登录进行投票
尊敬的客户，您好！

不客气，很高兴我我们的回复对您有帮助。

我们可以把有用的回复标记为答复。这对于正在查找类似问题的人将很有帮助。

非常感谢您对微软的支持。一如既往，如果后期遇到什么其他问题，欢迎您随时上帖。我们很高兴协助您！

祝您工作生活顺利！

此致，
Daisy Zhou

针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已编辑 Daisy ZhouMicrosoft contingent staff, Moderator 2019年12月12日 4:22
2019年12月12日 4:21

回复

|

引用

版主

积极答复者

win2016 域控环境下禁用某域用户后，文件夹共享权限不能立即被禁止。

问题

答案

全部回复