Назад | Перейти на главную страницу

Каким образом можно активировать обновление токена доступа для учетных записей администраторов на рабочих станциях?

Этот сценарий возник при изменении членства в группе домена, что дает членство в BUILTIN\Administrators. В частности, членство в группах для администратора не обновлялось на рабочей станции до тех пор, пока администратор не выполнил вход на рабочий стол как обычный пользователь. Это сценарий, который поднял этот вопрос:

Начальная настройка:

  • Группа домена WSAdminGroup1 с членом
    • admin1
  • Рабочая станция ws1:
    • WSAdminGroup1 является членом BUILTIN\Administrators
    • user1 является членом BUILTIN\Users
  • когда user1 встречает приглашение UAC, admin1 может разрешить возвышение

Изменения:

  • Добавить группу домена WSAdminGroup2 с членом
    • admin2
  • Добавить WSAdminGroup2 к BUILTIN\Administrators

Результат:

  • когда user1 встречает приглашение UAC, admin2 не могу авторизовать подъем

Итак, у нас есть администратор admin2 кто должен быть членом BUILTIN\Administrators на рабочей станции ws1 посредством членства в группе домена в WSAdminGroup2 но не может авторизовать запросы на повышение прав UAC на ws1.

Никакого ожидания, перезагрузки или выхода из системы user1 вызвал admin2 для получения прав администратора на рабочей станции. Оказалось, что вход на рабочий стол как admin2 наконец вызвал admin2 чтобы получить доступ администратора.

Это говорит о том, что администратор admin2токен доступа не был обновлен на рабочей станции ws1 до того как admin2 авторизовался на рабочем столе. Но я еще не нашел документации, согласующейся с этим выводом.

В любом случае я хотел бы разобраться в следующих вопросах:

  1. Что на самом деле случилось с администратором admin2токены доступа, как этот сценарий разыгрывался?
  2. Для удостоверений (например, администраторов), которые не регулярно входят в систему на рабочем столе рабочей станции, есть ли другой способ инициировать выпуск нового токена доступа, который отражал бы более актуальное членство в группах?
  3. Может ли какой-либо из способов авторизации, не связанных со входом в систему на рабочем столе (например, удаленное взаимодействие PowerShell или вызов функции «Запуск от имени администратора»), выпуск нового токена доступа?

Вы можете рассмотреть возможность использования Возможности защищенных пользователей Windows (как обсуждалось в этот ответ), чтобы вообще предотвратить кеширование учетных данных администратора. Это также помогает снизить риски бокового смещения.