Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Existe-t-il un moyen de rafraîchir l'appartenance aux groupes d'un ordinateur sans redémarrage ?

ayi

J’utilise Windows Server 2008 R2 et j’ai un service Windows fonctionnant sous le compte « network service » sur l’ordinateur ComputerA. Ce service Windows doit accéder à un dossier partagé (sur un autre ordinateur ComputerB) qui accorde la permission de lecture à un groupe GroupA. Je dois donc ajouter le compte d’ordinateur de ComputerA au GroupA et redémarrer ComputerA.
Ma question est la suivante : existe-t-il un moyen de faire prendre effet immédiatement l’appartenance au groupe sans redémarrer ComputerA ?

ayi_2

<pre><code class="lang-auto">For Windows 2008 and higher:

psexec -s -i -d cmd.exe

C:\Windows\system32>whoami
nt authority\system

-- List the session 0 tickets (0x3e7 is the machine session 0)
klist -lh 0 -li 0x3e7

-- Purge the session 0 tickets
klist -lh 0 -li 0x3e7 purge

Should display:

Current LogonId is 0:0x3e7
Deleting all tickets:
Ticket(s) purged!

</code></pre>
PSExec est un téléchargement gratuit de SysInternals chez Microsoft.
Pour dissiper toute confusion, ce processus rafraîchira absolument les appartenances aux groupes d’un ordinateur, et permettra à une stratégie de groupe s’appliquant à un groupe de sécurité de s’appliquer désormais à l’ordinateur, sans redémarrer celui-ci. Cela a été testé et vérifié sur Windows Server 2012 R2 et Windows Server 2008 R2 avec un groupe de sécurité universel. La version courte serait :
<ul>
<li>
<code>psexec -s -i -d cmd.exe</code>
</li>
<li>
<code>klist tgt</code> (visualisez le ticket actuel, notez la taille. Notez également que puisque vous exécutez en tant que système, le Current Logon Id est 0x3e7)
</li>
<li>
Ajoutez l’ordinateur au groupe de sécurité. (Laissez le temps de réplication, le cas échéant)
</li>
<li>
<code>klist purge</code>
</li>
<li>
<code>nltest /dsgetdc:domain.com</code> (exécutez cette commande ou toute autre commande qui se connectera à une ressource réseau et forcera une demande de TGT)
</li>
<li>
<code>klist tgt</code> (visualisez le ticket actuel, notez la taille. Il devrait être légèrement plus grand. Notez que whoami /groups ne reflétera pas la nouvelle appartenance)
</li>
</ul>
À ce stade, l’invite de commandes système peut être fermée.
<ul>
<li>
<code>gpupdate /force</code>
</li>
<li>
<code>gpresult /h gpresult.html</code>
</li>
</ul>
Consultez le rapport GP, il devrait maintenant montrer que la stratégie de groupe est appliquée.