Надеюсь, я попал в нужное место (правильный сайт обмена стеками). Если нет, скажите, пожалуйста, правильный.
Я получил новые права на папку на сервере Windows, будучи добавленным в группу Active Directory, к которой у меня не было доступа.
Но хотя у меня были права, я не смог получить доступ к папке. Мне пришлось выйти / войти в систему, чтобы получить доступ.
Почему так? Если это сервер, который авторизует меня в соответствии с тем, кем я являюсь, то почему для доступа к этой папке требуется перезагрузка моей машины (или выход из системы / вход в систему)?
Какое минимальное действие нужно сделать, чтобы получить доступ к этой папке? Обязательно ли нам выйти / войти в систему?
Старый текст, но посмотри Как группы безопасности используются в управлении доступом как это объясняет процесс. Токен обновляется при выходе из системы / входе в систему.
Когда пользователю или группе предоставляется разрешение на доступ к ресурсу, например к принтеру или общему файловому ресурсу, SID пользователя или группы добавляется в запись управления доступом (ACE), определяющую предоставленное разрешение в списке дискреционного управления доступом к ресурсу. (DACL). В доменных службах Active Directory каждый объект имеет атрибут nTSecurityDescriptor, в котором хранится список DACL, определяющий доступ к этому конкретному объекту или атрибутам этого объекта. Дополнительные сведения о настройке управления доступом к объектам в доменных службах Active Directory см. В разделе Управление доступом к объектам в доменных службах Active Directory.
Когда пользователь входит в домен Windows 2000, операционная система генерирует маркер доступа. Этот токен доступа используется для определения того, к каким ресурсам пользователь может получить доступ. Токен доступа пользователя включает в себя следующие данные:
SID пользователя.
SID всех глобальных и универсальных групп безопасности, членом которых является пользователь.
SID всех вложенных глобальных и универсальных групп безопасности.
Каждый процесс, выполняемый от имени этого пользователя, имеет копию этого токена доступа.
Когда пользователь пытается получить доступ к ресурсам на компьютере, служба, через которую пользователь обращается к ресурсу, будет олицетворять пользователя, создавая новый маркер доступа на основе маркера доступа, созданного во время входа пользователя в систему. Этот новый токен доступа также будет содержать следующие идентификаторы безопасности:
SID для всех локальных групп домена в целевом домене, членом которого является пользователь. SID для всех локальных групп компьютеров на целевом компьютере, членом которого является пользователь. Служба использует этот новый токен доступа для оценки доступа к ресурсу. Если SID в токене доступа появляется в каких-либо ACE в DACL, служба предоставляет пользователю разрешения, указанные в этих ACE.
Но хотя у меня были права, я не смог получить доступ к папке. Мне пришлось выйти / войти в систему, чтобы получить доступ.
Это ожидаемое поведение.
Какое минимальное действие нужно сделать, чтобы получить доступ к этой папке? Обязательно ли нам выйти / войти в систему?
AFAIK, да.
Так же как дополнительная информация ...
От перфеназина в ars technica
Зависит от того, что вы подразумеваете под «разрешениями». Вы имеете в виду разрешения NTFS? Если да, они вступают в силу немедленно. Вы имеете в виду разрешения для объекта AD? Для этого требуется интервал репликации (несколько минут). Вы имеете в виду, что изменили членство в группе? Это всегда требует выхода / входа в систему, поскольку членство в группе добавляется к билету Kerberos, полученному при аутентификации.