Tại sao các máy miền Windows không định kỳ truy vấn tư cách thành viên nhóm bảo mật, giống như những thứ khác?

WakeDemons3

16:51, 08/11/2022

Khi tôi ở hỗ trợ cấp thấp hơn (và đôi khi vẫn còn), một trong những chuỗi sự kiện khó chịu nhất là yêu cầu cấp quyền truy cập tệp mới >> thêm người dùng vào nhóm bảo mật và chỉ định trong câu trả lời "bạn phải đăng xuất và quay lại máy của mình “. 20 phút sau, "TÔI VẪN BỊ TỪ CHỐI GIẤY PHÉP!!". Bởi vì bạn đã không đăng xuất và đăng nhập lại phải không

Tại sao các máy Windows trong miền AD không định kỳ truy vấn và cập nhật tư cách thành viên nhóm người dùng giống như họ làm đối với chính sách nhóm và nhiều thứ khác?

1 + 0

bức tường lửa

miền

nhóm bảo mật

Điểm:3

Server

slightly_toasted

18:42, 08/11/2022

Nhu cầu đăng xuất là do tư cách thành viên nhóm AD chỉ cập nhật khi vé Kerberos được tạo, xảy ra trong quá trình đăng nhập.

Bạn có thể làm mới vé Kerberos của máy tính bằng cách chạy thanh lọc klist -li 0:0x3e7 trên một dòng lệnh nâng cao, theo sau là gpupdate/lực lượng nếu bạn cần cập nhật chính sách nhóm.

giới thiệu: http://woshub.com/how-to-refresh-ad-groups-membership-without-user-logoff/

0 + 2

WakeDemons3

19:00, 08/11/2022

Tôi sẽ chọn câu trả lời này vì nó đúng theo nghĩa đen. Nhưng tôi muốn "tại sao" hơn. Tại sao PC không thực hiện việc xóa và cập nhật vé kerberos này dưới dạng quy trình nền giống như với GPO (90 phút một lần) hoặc danh sách DNS hoặc NTP, v.v.

Hồi đáp

slightly_toasted

19:30, 08/11/2022

@ WakeDemons3 Tôi cho rằng nó liên quan đến sự đánh đổi giữa việc sử dụng hết tài nguyên (chủ yếu là CPU) để tạo lại vé Kerberos, nhân với tất cả các tài khoản đã đăng nhập trên miền. Vs. Gây ra một chút bất tiện khi có sự thay đổi thành viên trong nhóm. Ngoài ra, do Kerberos không có trạng thái, AD sẽ không thể kích hoạt tái tạo vé khi thay đổi tư cách thành viên tài khoản.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Why don't Windows domain machines periodically query security group membership, like other things?

TH: เหตุใดเครื่องโดเมน Windows จึงไม่สอบถามการเป็นสมาชิกกลุ่มความปลอดภัยเป็นระยะๆ เหมือนอย่างอื่น

RO: De ce mașinile de domeniu Windows nu interoghează periodic apartenența la grupuri de securitate, ca și alte lucruri?

RU: Почему компьютеры домена Windows периодически не запрашивают членство в группе безопасности, как и другие вещи?

VI: Tại sao các máy miền Windows không định kỳ truy vấn tư cách thành viên nhóm bảo mật, giống như những thứ khác?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.