如何在 Windows 中刷新 Active Directory 组成员身份.
有两种途径可以刷新 Active Directory 中的用户组成员身份并应用新设置或更改,而无需等待自动应用:
- 注销并重新登录. 此操作检查用户所属的所有组. (最简单的方法)
- 重置 Kerberos 票证缓存 (艰辛的道路)
重置 Kerberos 票证缓存
笔记: 此方法仅适用于支持 Kerberos 身份验证的网络服务 (例如访问网络打印机). 仅使用 NTLM 身份验证的服务仍然需要用户注销和登录或重新启动 Windows.
您可以在以下位置获取当前用户所属的组列表 Windows PowerShell 或者 命令提示符 (指令管理系统) 使用以下命令:
whoami /groups
或 GP 结果
gpresult /r
笔记: 用户所属组的列表显示在该部分中该用户属于以下安全组.
Kerberos 票证可以在不重新启动计算机的情况下重置执行程序. 自 Windows 以来,Klist 就包含在 Windows 操作系统中 7.
计算机会员资格
1. 鼠标右键单击 开始 按钮并运行 Windows PowerShell (行政)(也可以使用cmd);
2. 重置计算机上 Kerberos 票证的整个缓存并更新 AD 组中的计算机成员身份, 运行以下命令:
klist -lh 0 -li 0x3e7 purge
笔记: 0x3e7 是显示本地计算机会话的特殊标识符 (本地系统).
运行命令并更新策略后, 使用安全筛选分配给 Active Directory 组的所有策略都将应用于计算机.
用户会员资格
1. 鼠标右键单击 开始 按钮并运行 Windows PowerShell (行政)(也可以使用cmd);
2. 使用此命令重置用户的所有 Kerberos 票证:
klist purge