Perché talvolta è necessario disconnettersi e accedere nuovamente aggiungendo un gruppo a un utente

Nei sisthemes Windows (in particolare Windows Server 2008R2 che utilizzo), a volte quando aggiungo un utente locale a un gruppo locale, l'utente deve disconnettersi e riaccenderlo prima che questo nuovo gruppo sia stato registrato.

Ma a volte anche la logging del gruppo viene fatta immediatamente senza che l'utente wheresse disconnettere e accedere nuovamente.

perché è così?

2 Solutions collect form web for “Perché talvolta è necessario disconnettersi e accedere nuovamente aggiungendo un gruppo a un utente”

Si menziona gli utenti ei gruppi locali, quindi mettere da parte l'Active Directory.

Dovresti sempre avere bisogno di reautenticare in modo che il token di sicurezza dell'utente contenga il nuovo membro del gruppo. In genere significa che è necessario re-login. LSASS esegue solo questo token quando l'utente autentica, che di solito è solo all'account, ma puoi eseguire qualcosa come C:\> runas /user:Yourself cmd.exe e che ti richiederà la password e passerai l'authentication e la tua nuova associazione di gruppo verrà raccolta. (Ma non posso garantire che tutte le altre applicazioni in esecuzione che abbiano richiesto l'appartenenza al gruppo verranno aggiornate senza riavviare tali applicazioni ecc.)

(Non menzionando il file klist.exe perché parliamo solo di utenti e gruppi locali.)

Questo articolo è praticamente l'autorità in materia.

Quando un utente è autenticato, l'autorità di protezione locale (LSA) crea un token di accesso – in questo caso, un token di accesso primario – per quell'utente. Un token di accesso contiene un identificatore di protezione (SID) per l'utente, tutti i SID per i gruppi a cui appartiene l'utente e i privilegi dell'utente. Se si aggiunge un utente a un gruppo dopo il rilascio del token di accesso dell'utente o modifica i privilegi assegnati all'account utente, l'utente deve disconnettersi e quindi accedere nuovamente prima che il token di accesso venga aggiornato.

Ogni volta che un thread o un process interagisce con un object salvabile o tenta di eseguire un'attività di sistema che richiede privilegi, il sistema operativo controlla l'effettivo token di accesso per determinare il livello di authorization. Se un thread sta impersonando, il token effettivo è di solito considerato il token sul thread. Se un thread che interagisce con l'object salvabile non impersonando, viene esaminato il token sul process per la decisione di accesso.

Così, ci sono due tipi di gettoni di accesso, primari e rappresentazione. Ogni process ha un token primario che descrive il context di protezione dell'account utente associato al process. Un token di accesso principale viene assegnato in genere ad un process per rappresentare le informazioni di sicurezza predefinite per quel process. D'altra parte, i token di accesso di impersonazione sono di solito utilizzati per scenari client / server. I token di replica consentono di eseguire un thread in un context di protezione diverso dal context di protezione del process che possiede il thread.

Questo video in qualche modo risponde alla domanda https://vimeo.com/73500318

Il video risolve anche il problema dell'accesso di un utente a una risorsa il cui gruppo di appartenenza ad un individuo è stato appena aggiunto senza wherer disconnettersi e di nuovo.

Ecco il riepilogo della soluzione che evita la difficoltà di loghi di accesso:

  • Aprire il prompt dei comandi aperti

  • Kill explorer.exe process (ucciderà solo l'explorer di Windows. Tutte le altre applicazioni sono sicure).

  • Nel prompt dei comandi digitare il seguente command: runas / user: DOMAIN \ explorer.exe

    • Verrà richiesto di inserire la tua password. Inserisci la tua password.

Nell'esempio precedente, il nome utente che si desidera utilizzare è lo stesso di quello in cui è già connesso.

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.