Cách làm mới tư cách thành viên nhóm Active Directory trong Windows.
Có hai đường dẫn để làm mới tư cách thành viên nhóm người dùng trong Active Directory và áp dụng các cài đặt hoặc thay đổi mới mà không cần chờ áp dụng tự động:
- Đăng xuất và đăng nhập lại. Hành động này kiểm tra tất cả các nhóm mà người dùng là thành viên của. (cách đơn giản nhất)
- Đặt lại bộ nhớ cache Kerberos Tickets (Cách khó)
Đặt lại bộ nhớ cache Kerberos Tickets
GHI CHÚ: Phương pháp này sẽ chỉ hoạt động đối với các dịch vụ mạng hỗ trợ xác thực Kerberos (ví dụ như truy cập vào máy in mạng). Các dịch vụ chỉ hoạt động với xác thực NTLM vẫn yêu cầu người dùng đăng xuất và đăng nhập hoặc khởi động lại Windows.
Bạn có thể lấy danh sách các nhóm mà người dùng hiện tại là thành viên trong Windows PowerShell hoặc Dấu nhắc lệnh (cmd) sử dụng lệnh sau:
whoami /groups
hoặc GPResult
gpresult /r
GHI CHÚ: Danh sách các nhóm mà người dùng là thành viên được hiển thị trong phầnNgười dùng là một phần của các nhóm bảo mật sau.
Có thể đặt lại vé Kerberos mà không cần khởi động lại máy tính bằng cách sử dụngklist.exe. Klist được bao gồm trong hệ điều hành Windows kể từ Windows 7.
thành viên máy tính
1. Kích chuột phải vào Bắt đầu nút và chạy Windows PowerShell (Quản trị viên)(Ngoài ra, bạn có thể sử dụng cmd);
2. Để đặt lại toàn bộ bộ đệm của vé Kerberos trên máy tính và cập nhật tư cách thành viên máy tính trong nhóm AD, chạy như sau:
klist -lh 0 -li 0x3e7 purge
GHI CHÚ: 0x3e7 là một mã định danh đặc biệt hiển thị phiên của máy tính cục bộ (Hệ thống cục bộ).
Sau khi chạy lệnh và cập nhật các chính sách, tất cả các chính sách được gán cho nhóm Active Directory bằng Lọc bảo mật sẽ được áp dụng cho máy tính.
Thành viên người dùng
1. Kích chuột phải vào bắt đầu nút và chạy Windows PowerShell (Quản trị viên)(Ngoài ra, bạn có thể sử dụng cmd);
2. Đặt lại tất cả vé Kerberos của người dùng bằng lệnh này:
klist purge