У меня следующая проблема. В моей компании я установил DNS-сервер + AD в WS2008 R2. У меня проблема в том, что при предоставлении общего доступа к папке для группы при добавлении или удалении пользователей из группы клиенты не вносят изменений, пока вы не закроете сеанс и не начнете заново. Например, вы не закрываете сеанс до тех пор, пока пользователь не сможет получить доступ к общей папке, но не внутри группы. Я вижу кое-что странное: если я получаю доступ к IP, изменения отражаются, но если я согласен, изменения DNS не отражаются, и DNS разрешается правильно. Кто-нибудь может мне помочь? Спасибо вам большое!
Это ожидаемое поведение. Windows проверяет ваше членство в группах только при создании билета на предоставление билета Kerberos. Есть хорошее объяснение Вот, но процитирую:
Когда Алиса успешно прошла аутентификацию на своем DC (это DC домена, в котором определена учетная запись пользователя Алисы), KDC DC создает билет предоставления билетов Kerberos (TGT). Чтобы позволить KDC заполнить поле PAC TGT авторизационными данными Алисы, DC выполняет следующие шаги:
- На шаге 1 контроллер домена запрашивает локальный раздел домена AD, чтобы узнать членство Алисы в глобальной группе. Сюда входят не только членство Алисы в глобальных группах, которое было назначено непосредственно ее учетной записи пользователя, но также членство в глобальных группах, которое было назначено одной из глобальных групп, к которым принадлежит Алиса.
- На шаге 2 контроллер домена запрашивает локальный раздел домена AD, чтобы узнать членство Алисы в универсальных группах. Опять же, они включают не только членство в универсальной группе Алисы, которое было назначено непосредственно ее учетной записи пользователя, но также членство в универсальной группе, которое было назначено одной из универсальных или глобальных групп, к которым принадлежит Алиса.
- На шаге 3 контроллер домена запрашивает локальный раздел домена AD, чтобы узнать членство Алисы в локальной группе домена. И снова сюда входят не только членство Алисы в локальной группе домена, которое было назначено ее учетной записи напрямую, но также членство в локальной группе домена, которое было назначено одной из локальных, универсальных или глобальных групп домена, к которым принадлежит Алиса.
Затем KDC сохраняет данные авторизации, собранные на этих трех этапах, в TGT Алисы и пересылает TGT на рабочую станцию Алисы. Рабочая станция Алисы автоматически кэширует TGT в локальном кэше билетов Kerberos Алисы.
Чтобы позволить Алисе получить доступ к ресурсу, расположенному на рядовом сервере, и позволить Алисе прозрачно аутентифицироваться на этом рядовом сервере, логика Kerberos на рабочей станции Алисы будет затем использовать кэшированный TGT Алисы, чтобы запросить у KDC билет службы для ресурса.
Если запрос билета службы действителен, KDC сгенерирует билет службы. Чтобы заполнить PAC нового билета службы, KDC копирует данные авторизации, которые он находит в PAC TGT Алисы. Затем KDC отправляет билет службы Алисе. Опять же, рабочая станция Алисы автоматически кэширует билет службы в локальном кэше билетов Kerberos Алисы.
(Kerberos хранит ваше членство в группах в поле Privilege Access Certificate (PAC).)
Надеюсь, это поможет.
Когда пользователь входит в систему, он получает билет Kerberos. Этот билет содержит список всех групп, к которым принадлежит пользователь. в это время. Если вы добавите их в группу после того, как они вошли в систему, им необходимо выйти / войти в систему, чтобы получить новый билет с новым списком групп.
Когда вы получаете доступ к общему ресурсу по имени DNS, это соединение аутентифицируется с помощью Kerberos. Когда вы получаете доступ к общему ресурсу по IP, NTLM используется для аутентификации соединения (не Kerberos). NTLM не использует билеты, и членство оценивается более динамично. Однако Kerberos - это более широко используемый отраслевой стандарт аутентификации, который предлагает другие преимущества, которых нет в NTLM.