主页 / server / 问题 / 558157
Accepted
user1034912
Asked: 2013-11-29 19:02:05 +0800 CST

为什么有时需要注销并重新登录向用户添加组

  • 772

在 Windows 系统中(特别是我使用的 Windows Server 2008R2),有时当我将本地用户添加到本地组时,用户需要注销并再次登录,然后才能将这个新组注册到他。

但有时也可以立即完成组注册.. 用户无需注销并重新登录..

为什么会这样?

security

2 个回答

  1. Best Answer

    您提到本地用户和组,因此将 Active Directory 放在一边。

    您应该始终需要重新进行身份验证,以便用户的安全令牌包含新的组成员身份。这通常意味着您需要重新登录。LSASS 仅在用户进行身份验证时分发此令牌,这通常仅在登录时,但您可以执行类似的操作C:\> runas /user:Yourself cmd.exe,这将提示您输入密码,您将再次通过身份验证,您的新组成员身份将被提取。(但我不能保证任何其他可能已查询您的组成员资格的正在运行的应用程序将在不重新启动这些应用程序的情况下刷新其数据等)

    (不提klist.exe,因为我们只讨论本地用户和组。)

    这篇文章几乎是这件事的权威。

    当用户通过身份验证时,本地安全机构 (LSA) 会为该用户创建一个访问令牌(在本例中为主访问令牌)。访问令牌包含用户的安全标识符 (SID)、用户所属组的所有 SID 以及用户的权限。如果您在发布用户访问令牌后将用户添加到组,或修改分配给用户帐户的权限,则用户必须先注销然后重新登录,然后访问令牌才会更新。

    每当线程或进程与安全对象交互或尝试执行需要特权的系统任务时,操作系统都会检查有效的访问令牌以确定其授权级别。如果一个线程正在模拟,则有效令牌通常被视为线程上的令牌。如果与安全对象交互的线程不是模拟的,则检查进程上的令牌以获取访问决策。

    因此,有两种访问令牌,主要的和模拟的。每个进程都有一个主令牌,用于描述与该进程关联的用户帐户的安全上下文。主要访问令牌通常分配给进程以表示该进程的默认安全信息。另一方面,模拟访问令牌通常用于客户端/服务器场景。模拟令牌使线程能够在与拥有该线程的进程的安全上下文不同的安全上下文中执行。

    • 11

  2. 这个视频在某种程度上回答了这个问题https://vimeo.com/73500318

    该视频还解决了用户无需注销并重新登录即可访问其组成员身份刚刚添加到的资源的问题。

    以下是避免登录注销麻烦的解决方案的摘要:

    • 打开命令提示符杀死

    • 杀死 explorer.exe 进程(它只会杀死 Windows 资源管理器。所有其他应用程序都是安全的)。

    • 在命令提示符中键入以下命令:runas /user:DOMAIN\ explorer.exe

      • 系统将提示您输入密码。输入您的密码。

    在上面的示例中,您将使用的用户名与您已经登录的用户名相同。

    • 0

相关问题