none
Помогите разобраться с членством в группах АД RRS feed

  • Вопрос

  • Доброго времени суток!

    Помогите пожалуйста разобраться с такой ситуацией:
    Есть сетевой диск с папками, на все папки выданы права доступа по группам (папка А - доступ группе А, папка Б - доступ группе Б и т.д.). на сервере так же установлен ABE (ACCESS-BASED ENUMERATION)...
    Проблема вот в чем, точнее не проблема, а я просто запутался.
    Пользователь состоит в группе А, и при входе в домен он естественно видит и имеет доступ только к папке А. Далее при добавлении его в группе Б (не перезаходя в домен) он не видит папку Б, это произойдет только после перезахода в домен, когда он получит новый билет с новыми правами. Анологично и наборот, если пользователя выкинуть из группы А, он все еще будет иметь доступ в папку А пока не завершит сеанс.
    Вопрос в том, что может ли пользователь обновить свой билет с правами не перезаходя в домен? Может есть какие то настройки ГП позволяющие это сделать?

    16 июня 2008 г. 7:35

Ответы

  • Maximum lifetime for user ticket
    По этому же пути в ГП находятся другие настройки для kerberos
    Но сильно уменьшать срок жизни билета не рекомендуется, т.к. это приведёт к загрузке контроллера и при выходе его из строя пользователи быстро потеряют доступ к ресурсам
    16 июня 2008 г. 7:52

Все ответы

  • Maximum lifetime for user ticket
    По этому же пути в ГП находятся другие настройки для kerberos
    Но сильно уменьшать срок жизни билета не рекомендуется, т.к. это приведёт к загрузке контроллера и при выходе его из строя пользователи быстро потеряют доступ к ресурсам
    16 июня 2008 г. 7:52
  • Я так понял, что моментально получить права на папку при смене группы не получится. Минимум 1 час до смены билета.
    Спс за помощь)
    16 июня 2008 г. 8:04
  • Моментально не получится. Причину вы сами объяснили в процессе постановки вопроса Smile
    16 июня 2008 г. 8:08
  • И при чем тут ticket lifetime? Токен, содержащий членство в группах (SID) формируется только при логоне. Никакие изменения времени жизни билета на это не влияют.

    Членство в группах выдается пользователю при логоне. Чтобы применились изменения (добавлен\удален из группы) - нужно перезайти.

     

    16 июня 2008 г. 10:07
    Отвечающий
  • Членство в группах содержится в TGT, срок жизни которого по-умолчанию составляет 7 дней, но может меняться параметром Maximum lifetime for user ticket renewal
    16 июня 2008 г. 11:29