我正在使用主要用作文件服务器的Windows Server 2012 R2域控制器。 该networking上的客户端大多不是域用户,而是使用域用户帐户来validation映射到文件服务器共享的networking驱动器。
这些域用户帐户反过来为文件服务器共享中的不同文件夹提供不同级别的NTFS访问权限。 为此,在域用户组级别设置NTFS访问权限,并根据需要临时向这些组添加或删除域用户。
我注意到,当一个用户被添加到授予他们额外访问权限的组中(或者当他们被从组中删除,因此失去了访问权限)时,这些权限更改直到客户端计算机(在Windows 7 Professional上观察)已重新启动(因此,可能已刷新了相应映射驱动器的高速caching的访问令牌。)
作为pipe理员,一旦用户被添加到组中或从组中删除,就强制刷新这些访问令牌,使得他们的新访问权限立即生效,而不必重新启动他们的计算机。
这可能强制执行吗? 如果是的话,怎么样?
直接的答案是否定的。 我没有确定的方法来更新Kerberos访问令牌,而不用注销/login或重新启动。 新组的SID需要添加到令牌中,并且只在这些事件中完成。
你可以尝试使用klist purge网页上的许多文章将build议,但我努力尝试这个不起作用。
klist purge确实适用于绝大多数内容,特别是对共享文件夹的权限更改。 你需要小心这个。 由于这是会话特定的,所以从另一个用户的帐户(即使在同一个系统上)也不行。 你会想要在login用户的上下文中运行这个。 我个人只在坐在别人的桌子上时才会用这个(假设这是为了帮助台),所以很容易testing。