Existe-t-il un moyen de rafraîchir l'appartenance aux groupes d'un ordinateur sans redémarrage ?

Windows Server & IT Pro Active Directory & Entra ID
1

J’utilise Windows Server 2008 R2 et j’ai un service Windows fonctionnant sous le compte « network service » sur l’ordinateur ComputerA. Ce service Windows doit accéder à un dossier partagé (sur un autre ordinateur ComputerB) qui accorde la permission de lecture à un groupe GroupA. Je dois donc ajouter le compte d’ordinateur de ComputerA au GroupA et redémarrer ComputerA.

Ma question est la suivante : existe-t-il un moyen de faire prendre effet immédiatement l’appartenance au groupe sans redémarrer ComputerA ?

2 
For Windows 2008 and higher:

psexec -s -i -d cmd.exe

C:\Windows\system32>whoami
nt authority\system

-- List the session 0 tickets (0x3e7 is the machine session 0)
klist -lh 0 -li 0x3e7

-- Purge the session 0 tickets
klist -lh 0 -li 0x3e7 purge

Should display:

Current LogonId is 0:0x3e7
        Deleting all tickets:
        Ticket(s) purged!

PSExec est un téléchargement gratuit de SysInternals chez Microsoft.

Pour dissiper toute confusion, ce processus rafraîchira absolument les appartenances aux groupes d’un ordinateur, et permettra à une stratégie de groupe s’appliquant à un groupe de sécurité de s’appliquer désormais à l’ordinateur, sans redémarrer celui-ci. Cela a été testé et vérifié sur Windows Server 2012 R2 et Windows Server 2008 R2 avec un groupe de sécurité universel. La version courte serait :

  • psexec -s -i -d cmd.exe

  • klist tgt (visualisez le ticket actuel, notez la taille. Notez également que puisque vous exécutez en tant que système, le Current Logon Id est 0x3e7)

  • Ajoutez l’ordinateur au groupe de sécurité. (Laissez le temps de réplication, le cas échéant)

  • klist purge

  • nltest /dsgetdc:domain.com (exécutez cette commande ou toute autre commande qui se connectera à une ressource réseau et forcera une demande de TGT)

  • klist tgt (visualisez le ticket actuel, notez la taille. Il devrait être légèrement plus grand. Notez que whoami /groups ne reflétera pas la nouvelle appartenance)

À ce stade, l’invite de commandes système peut être fermée.

  • gpupdate /force

  • gpresult /h gpresult.html

Consultez le rapport GP, il devrait maintenant montrer que la stratégie de groupe est appliquée.