Para fazer com que um computador atualize suas associações de grupo sem reinicializá-lo, você pode limpar tickets Kerberos com o comando klist -li 0x3e7 purge
. Um gpupdate
ou subsequente gpresult
refletirá as novas associações ao grupo.
No entanto, isso parece não funcionar em um controlador de domínio. Por que?
Os tickets foram eliminados com sucesso, mas os subsequentes gpresult /r
não refletem as alterações.
Um controlador de domínio buscaria o GPO diretamente de si mesmo, por meio de SMB de loopback, e o SMB de loopback não usa Kerberos – geralmente usa NTLM.
NTLM em msv_sspi possui tratamento especial para conexões de loopback; parece que, em vez de fazer desafio/resposta e depois consultar o diretório em busca de detalhes do usuário, o processo do servidor espia diretamente o token de segurança do processo do cliente. Portanto, os grupos efetivos só podem ser atualizados reiniciando o processo relevante, o que provavelmente significa uma reinicialização.