Windows Server 2008 R2を使用していますが、コンピューターComputerAの「ネットワークサービス」アカウントで実行されているWindowsサービスがあります。このWindowsサービスは、グループGroupAに読み取りアクセス許可を付与する共有フォルダー(別のコンピューターComputerB上の)にアクセスする必要があります。そのため、ComputerAのコンピューターアカウントをGroupAに追加し、ComputerAを再起動する必要があります。
私の質問は、ComputerAを再起動せずにすぐにグループメンバーシップを有効にする方法はありますか?
回答:
For Windows 2008 and higher:
psexec -s -i -d cmd.exe
C:\Windows\system32>whoami
nt authority\system
-- List the session 0 tickets (0x3e7 is the machine session 0)
klist -lh 0 -li 0x3e7
-- Purge the session 0 tickets
klist -lh 0 -li 0x3e7 purge
Should display:
Current LogonId is 0:0x3e7
Deleting all tickets:
Ticket(s) purged!
PSExecは、Microsoftからの無料のSysInternalsダウンロードです。
混乱を解消するために、このプロセスはコンピューターのグループメンバーシップを完全に更新し、コンピューターを再起動せずに、セキュリティグループに適用されるグループポリシーをコンピューターに適用できるようにします。これは、Windows Server 2012 R2、Windows Server 2008 R2、およびユニバーサルセキュリティグループでテストおよび検証されています。ショートバージョンは次のようになります:
psexec -s -i -d cmd.exeklist tgt (現在のチケットを表示し、サイズをメモします。また、システムとして実行しているため、現在のログオンIDは0x3e7であることに注意してください)klist purge nltest /dsgetdc:domain.com (これまたはネットワークリソースに接続し、TGT要求を強制する他のコマンドを実行します)klist tgt (現在のチケットを表示し、サイズをメモします。少し大きくする必要があります。whoami/ groupsは新しいメンバーシップを反映しないことに注意してください)この時点で、システムコマンドプロンプトが終了する場合があります。
gpupdate /forcegpresult /h gpresult.html gpreportを表示すると、グループポリシーが適用されていることが表示されます。
klist tgtサイズが変更されずwhoami /groups、新しいグループを反映しません) 。グループの変更がすべてのDCを通じて複製されることを確認しました。
私のドメインでは、ネットワークドライブに対してのみこれが機能します。
@echo off
net use M: /d /y
gpupdate /force
net use M: \\10.11.12.233\Archivos /persistent:Yes
explorer.exe M: