Reingucker 3 Geschrieben 7. Januar 2015 Melden Teilen Geschrieben 7. Januar 2015 (bearbeitet) Moin, frei nach Udo Jürgens:"Aaaaaaahhhhh, und immer immer wieder tauchen Fraaaaagen aauuuf....*sing*" :) Wird das Kerberosticket eines Users auch gleichzeitig erneuert wenn es bei Zugriff auf eine Freigabe überprüft wird? Szenario: Eine Freigabe wurde auf AD-Dateiserver erstellt und einer Gruppe xy wurde der Zugriff erlaubt. User A, welcher schon 5 Stunden angemeldet ist, wird vom Admin in die Gruppe xy geschoben. User A will auf die Freigabe zugreifen. Wird nur das bestehende Kerberosticket des Users vom Dateiserver überprüft? Wenn ja, wie kann man das ab-/anmelden umgehen? Oder bekommt der User bei der Überprüfung gleich ein neues Kerberosticket mit der neuen Gruppe drin und kann dann zugreifen? Danke. bearbeitet 7. Januar 2015 von Reingucker Zitieren Link zu diesem Kommentar
Beste Lösung daabm 1.354 Geschrieben 7. Januar 2015 Beste Lösung Melden Teilen Geschrieben 7. Januar 2015 klist purge - dann sind alle Tickets weg, und beim nächsten Zugriff werden "normalerweise" neue ausgestellt. BTW: Du mußt unterscheiden zwischen TGT und TGS - ersteres enthält die Gruppenmitgliedschaften, zweiteres ermöglicht den Ressourcenzugriff. http://technet.microsoft.com/library/cc772815.aspx Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 7. Januar 2015 Melden Teilen Geschrieben 7. Januar 2015 Wenn einer User neu einer Gruppe hinzugefügt wird, muss er sich i.d.R. neu anmelden. Das mit Kerberos eher nichts zu tun sondern mit seinem Access Token. Zitieren Link zu diesem Kommentar
Reingucker 3 Geschrieben 7. Januar 2015 Autor Melden Teilen Geschrieben 7. Januar 2015 klist purge - dann sind alle Tickets weg, und beim nächsten Zugriff werden "normalerweise" neue ausgestellt. BTW: Du mußt unterscheiden zwischen TGT und TGS - ersteres enthält die Gruppenmitgliedschaften, zweiteres ermöglicht den Ressourcenzugriff. http://technet.microsoft.com/library/cc772815.aspx Danke :) Fetter Link! Da fällt mir so richtig auf wie wenig ich weiß ^^ "Klist purge" funktioniert einwandfrei und auch über invoke-command. So richtig nett. Was hat es eigentlich mit -li und -lh auf sich? Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 7. Januar 2015 Melden Teilen Geschrieben 7. Januar 2015 Guck mal bei win32_logonsession - da gibt es eine LogonID, das ist m.W. ein UINT64 (auch wenn WMI das als String ausspuckt)... Zitieren Link zu diesem Kommentar
Lian 2.421 Geschrieben 7. Januar 2015 Melden Teilen Geschrieben 7. Januar 2015 @Reingucker: Bitte markiere doch, wenn erledigt, die Lösung, die Dir am besten gefällt (siehe Button "Beste Lösung" unter einem Beitrag). Mehr dazu: http://www.mcseboard.de/topic/201535-beste-l%C3%B6sung-markierung/ Zitieren Link zu diesem Kommentar
Reingucker 3 Geschrieben 7. Januar 2015 Autor Melden Teilen Geschrieben 7. Januar 2015 @Reingucker: Bitte markiere doch, wenn erledigt, die Lösung, die Dir am besten gefällt (siehe Button "Beste Lösung" unter einem Beitrag). Mehr dazu: http://www.mcseboard.de/topic/201535-beste-l%C3%B6sung-markierung/ Erledigt. Der Button ist mir bis eben gar nicht aufgefallen :schreck: Zitieren Link zu diesem Kommentar
Lian 2.421 Geschrieben 7. Januar 2015 Melden Teilen Geschrieben 7. Januar 2015 Off-Topic:Ist auch nagelneu. Danke! 1 Zitieren Link zu diesem Kommentar
Reingucker 3 Geschrieben 7. Januar 2015 Autor Melden Teilen Geschrieben 7. Januar 2015 Guck mal bei win32_logonsession - da gibt es eine LogonID, das ist m.W. ein UINT64 (auch wenn WMI das als String ausspuckt)... Ja, ist die LogonID in hexadezimal. Damit kann man explizit den User angeben welcher gemeint sein soll. Hab zwar was dazu gefunden, weiß aber immer noch nicht was genau -lh (higher part of the loginid) oder -li (lower part of the loginid) innerhalb der loginid darstellt. Ist es einmal Gruppen und einmal User? http://technet.microsoft.com/de-de/library/hh134826%28v=ws.10%29.aspx Und ob es 64bittig ist weiß ich auch nicht. Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 8. Januar 2015 Melden Teilen Geschrieben 8. Januar 2015 Die LogonID ist ein 64 Bit Wert. Warum die Programmierer das in klist als zwei DWords parametrisieren statt einfach die komplette ID zu übergeben, weiß ich nicht :D http://msdn.microsoft.com/de-de/library/windows/desktop/aa379261%28v=vs.85%29.aspx Zitieren Link zu diesem Kommentar
Reingucker 3 Geschrieben 9. Januar 2015 Autor Melden Teilen Geschrieben 9. Januar 2015 Danke. Da weiß ich dann zumindest dass ich mir darüber erst mal keinen Kopf mehr zu zerbrechen brauche :D Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.