W administracji środowiskiem Active Directory często zdarzają się sytuacje, w których dodajecie komputer, czy też użytkownika do grupy zabezpieczeń, ale nie możecie w danym momencie restartować maszyny, aby odświeżyć członkostwo w grupach. Co w takiej sytuacji zrobić? Z pomocą przychodzi narzędzie klist. Powiecie, dlaczego akurat klist? Przecież to jest narzędzie do listowania, czy kasowania biletów Kerberosowych. Jednak członkostwo w grupach jest pobierane właśnie w momencie wystawienia tegoż ticketu. Dlatego, gdy wykasujemy i pobierzemy je ponownie, członkostwo również zostanie zaktualizowane.
Uwaga! Sposób ten działa tylko dla autentykacji Kerberos. W przypadku autentykacji NTLM jest wymagany restart maszyny lub ponowne zalogowanie użytkownika.
Przejdźmy zatem do okna terminala i sprawdźmy jak to zrealizować.
Odświeżenie grup dla konta zalogowanego użytkownika
Na początek zweryfikujmy w jakich grupach znajduje się użytkownik. Najprościej to zrobić na 2 sposoby:
- polecenie whoami /groups
- polecenie gpresult, oprócz zastosowanych polityk wyświetla również członkostwo w grupach zarówno użytkownika jak i komputera, ale zawęźmy tylko do części o użytkowniku. Zatem polecenie powinno wyglądać następująco: gpresult /r /scope user
Podczas aktywnej sesji użytkownika utworzę nową grupę w Active Directory, dodam użytkownika i spróbujemy bez przelogowania użytkownika odświeżyć grupy w których się znajduje. Użyjmy zatem polecenia klist z parametrem purge
klist.exe purge
Po usunięciu ticketów należy otworzyć nowe okno Powershella jako inny użytkownik, aby podać nowe poświadczenia i wygenerować nowy ticket. Sprawdźmy zatem jak teraz wygląda lista grup po odświeżeniu biletów Kerberosowych.
Odświeżenie grup dla konta komputera
W przypadku konta komputera sytuacja jest bardzo podobna, jednak sprawdzenie grup najłatwiej wykonać za pomocą polecenia gpresult /r /scope computer
Rożnica jest również w poleceniu klist, ponieważ aby wyświetlić tickety Kerberosowe maszyny należy użyć polecenia klist -li 0x3e7
Aby wyczyścić tickety wystarczy do poprzedniego polecenia dodać parametr purge
Uwaga! W przypadku systemów Windows Server 2008 R2, Windows 7 i starszych polecenie czyszczące tickety Kerberosowe powinno wyglądać następująco: klist -lh 0 -li 0x3e7 purge
Po wyczyszczeniu ticketów należy wystąpić aby kontroler domeny wystawił je ponownie. Najłatwiej zrobić to poprzez odświeżenie polityk – gpupdate /force. Po odświeżeniu grupy zostały odświeżone.
