要让计算机在不重新启动计算机的情况下更新其组成员身份,您可以使用命令清除 kerberos 票证klist -li 0x3e7 purge。随后的gpupdate或gpresult将反映新的组成员资格。
但是,这似乎不适用于域控制器。为什么?
票证已成功清除,但后续gpresult /r未反映更改。
AskOverflow.Dev
域控制器将通过环回 SMB 直接从自身获取 GPO,而环回 SMB 不使用 Kerberos – 它通常使用 NTLM。
msv_sspi 中的 NTLM对环回连接有特殊处理;看来,服务器进程不是执行质询/响应,然后查询目录中的用户详细信息,而是直接查看客户端进程的安全令牌。因此,有效组只能通过重新启动相关进程来更新,这很可能意味着重新启动。