none
Active Directory no refleja cambios en clientes. RRS feed

  • Pregunta

  • Hola amigos, tengo el siguiente problema.
    En mi empresa tengo instalado un servidor de AD + DNS en un WS2008 R2. El problema que tengo es que al compartir una carpeta para un grupo, cuando agrego o elimino usuarios del grupo, los clientes no toman los cambios hasta que cierro sesión y vuelvo a iniciar. Por ejemplo, hasta que no cierro sesión un usuario puede acceder a la carpeta compartida aunque no este dentro del grupo. También algo raro que veo es que si accedo por IP, los cambios se ven reflejados, pero si accedo por DNS los cambios no se ven reflejados, y los DNS resuelven correctamente. Alguien me puede ayudar?
    Muchas Gracias!


    miércoles, 6 de enero de 2016 18:40

Respuestas

  • Muchas gracias por la pronta respuesta!
    Hay alguna forma de que no tenga que cerrar sesión cada vez que se realiza un cambio de permisos? 
    A lo que me refería con ingresar por IP o DNS es lo siguiente:
    Suponiendo que mi server se llama srv-it si yo accedo de esta manera \\srv-it\micarpetacompartida NO toma los cambios de permisos inmediatamente, pero si accedo por la IP, osea \\192.168.0.11\micarpetacompartida SI toma los cambios de permisos inmediatamente, eso me parece raro.. 

    No hay forma romansrsr lamentablemente por varios motivos:

    - Cuando accedes por nombre se utiliza autenticación Kerberos, el cliente obtiene y presenta un "ticket" de autenticación que tiene una duración de 8 horas

    - Aunque el usuario se desconecte de un compartido, por omisión la sesión queda abierta, por omisión, 15 minutos

    - La membresía en grupos de un usuario, se almacena en una estructura llamada "Access Token" similar a un credencial de identidad. Esta se destruye cuando cierra sesión, y se crea una nueva cuando inicia. Esta credencial no se refresca, sólo cuando se crea una nueva

    Por lo tanto, hasta que no cierre sesión, e inicie nuevamente, su credencial de acceso ("Access Token") no se modifica, y figuran los grupos a los que pertenecía cuando inició sesión en el Dominio

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    miércoles, 6 de enero de 2016 20:52
    Moderador

Todas las respuestas

  • Hola "roman_rzr" como estas,

    Es lo normal que cuando realizas cambios de permisos NTFS o share tengas que hacer un log off / log on para que tome los cambios.
    Para administrar permisos puedes usar:

    Managing Permissions
    https://technet.microsoft.com/en-us/library/cc770962.aspx

    1 - Como configuras tu carpeta compartida ?
    2 - A que te refieres cuando se ingresa por IP o DNS, danos un ejemplo ?

    Desde event viewer verifica todos los eventos que sean de error y su número de id.

    • Propuesto como respuesta romanrsr jueves, 7 de enero de 2016 12:44
    miércoles, 6 de enero de 2016 19:15
  • Muchas gracias por la pronta respuesta!
    Hay alguna forma de que no tenga que cerrar sesión cada vez que se realiza un cambio de permisos? 
    A lo que me refería con ingresar por IP o DNS es lo siguiente:
    Suponiendo que mi server se llama srv-it si yo accedo de esta manera \\srv-it\micarpetacompartida NO toma los cambios de permisos inmediatamente, pero si accedo por la IP, osea \\192.168.0.11\micarpetacompartida SI toma los cambios de permisos inmediatamente, eso me parece raro.. 

    miércoles, 6 de enero de 2016 19:19
  • Muchas gracias por la pronta respuesta!
    Hay alguna forma de que no tenga que cerrar sesión cada vez que se realiza un cambio de permisos? 
    A lo que me refería con ingresar por IP o DNS es lo siguiente:
    Suponiendo que mi server se llama srv-it si yo accedo de esta manera \\srv-it\micarpetacompartida NO toma los cambios de permisos inmediatamente, pero si accedo por la IP, osea \\192.168.0.11\micarpetacompartida SI toma los cambios de permisos inmediatamente, eso me parece raro.. 

    No hay forma romansrsr lamentablemente por varios motivos:

    - Cuando accedes por nombre se utiliza autenticación Kerberos, el cliente obtiene y presenta un "ticket" de autenticación que tiene una duración de 8 horas

    - Aunque el usuario se desconecte de un compartido, por omisión la sesión queda abierta, por omisión, 15 minutos

    - La membresía en grupos de un usuario, se almacena en una estructura llamada "Access Token" similar a un credencial de identidad. Esta se destruye cuando cierra sesión, y se crea una nueva cuando inicia. Esta credencial no se refresca, sólo cuando se crea una nueva

    Por lo tanto, hasta que no cierre sesión, e inicie nuevamente, su credencial de acceso ("Access Token") no se modifica, y figuran los grupos a los que pertenecía cuando inició sesión en el Dominio

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    miércoles, 6 de enero de 2016 20:52
    Moderador
  • Muchas gracias por la pronta respuesta!
    Hay alguna forma de que no tenga que cerrar sesión cada vez que se realiza un cambio de permisos? 
    A lo que me refería con ingresar por IP o DNS es lo siguiente:
    Suponiendo que mi server se llama srv-it si yo accedo de esta manera \\srv-it\micarpetacompartida NO toma los cambios de permisos inmediatamente, pero si accedo por la IP, osea \\192.168.0.11\micarpetacompartida SI toma los cambios de permisos inmediatamente, eso me parece raro.. 

    No hay forma romansrsr lamentablemente por varios motivos:

    - Cuando accedes por nombre se utiliza autenticación Kerberos, el cliente obtiene y presenta un "ticket" de autenticación que tiene una duración de 8 horas

    - Aunque el usuario se desconecte de un compartido, por omisión la sesión queda abierta, por omisión, 15 minutos

    - La membresía en grupos de un usuario, se almacena en una estructura llamada "Access Token" similar a un credencial de identidad. Esta se destruye cuando cierra sesión, y se crea una nueva cuando inicia. Esta credencial no se refresca, sólo cuando se crea una nueva

    Por lo tanto, hasta que no cierre sesión, e inicie nuevamente, su credencial de acceso ("Access Token") no se modifica, y figuran los grupos a los que pertenecía cuando inició sesión en el Dominio

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    Muchas Gracias Gustavo! Me quedo todo muy claro! 
    jueves, 7 de enero de 2016 12:44
  • "romanrsr" te pido crees una pregunta nueva en el foro así te podemos ayudar con el tema DNS.
    jueves, 7 de enero de 2016 13:56
  • ¿Quién es Gustavo? :)

    ja ja ja

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 7 de enero de 2016 14:53
    Moderador