不知道我是否应该在这里或在这里问,但这是我的问题 – 我有一个服务帐户,我们用于IIS应用程序池。 我最近把它们添加到了一些AD组中,新的组没有反映这个ID。 对于普通用户,我们会要求他们注销并重新login,所以我尝试了以下方法:
玩了一段时间后,我们重新启动服务器,瞧! 权限按预期工作。 这次很好,但我不想在生产服务器上这样做。
无论如何强迫帐户拉AD的更新?
我不检查iis,但应该工作:
logonsessions.exe -p
命令提示符下运行logonsessions.exe -p
00000000:00009ff1
) klist -li 0x<logonid>
,在这个例子中是9ff1 。 检查票证是否存在 klist -li 0x<logonid> purge
这将清除所选会话的票据 PS但我仍然不build议经常更改服务帐户生产性服务器的组成员身份。