Когда пользователь удаляется из группы AD, его доступ не отменяется немедленно из общих файловых ресурсов, где эта группа разрешена.
НАПРИМЕР:
: User1: является членом группы ~ Folder1_Modify ~.
Общий ресурс с именем «Folder1» предоставил полный контроль группе ~ Folder1_Modify ~.
: User1: удален из группы ~ Folder1_Modify ~
: User1: будет по-прежнему иметь полный контроль над "Folder1", пока не выйдет из системы.
Группа ~ Folder1_Modify ~ все еще кэшируется в активном сеансе пользователя. При доступе к общему ресурсу сервер смотрит на это значение сеанса и видит: Пользователь1: имеет эту группу.
Есть ли параметр групповой политики (или что-то еще), который заставит сервер повторно проверить группу, чтобы увидеть, является ли пользователь, который «выглядит» как член, все еще членом этой группы?
IE: каждый раз, когда пользователь обращается к общему ресурсу, проверяйте Active Directory, чтобы получить последнее состояние группы, вместо того, чтобы полагаться на состояние группы на момент входа пользователя в систему.