[AD] Gruppenmitgliedschaften "aktualisieren"

[GhostDog23]

Hallo allesamt,

ich habe mal ein recht spezielles Anliegen.

Ein Useraccount bekommt ja erst mit, dass er Mitglied in einer neuen Sicherheitsgruppe ist, nachdem er sich Aus -und wieder Eingeloggt hat, da erst hierbei TGT und TGS erneuert werden.

Hierfür kann man evtl. ein Skript bauen, das allerdings auf allen Clientrechnern laufen muss --> siehe hier

Kennt jemand eine Möglichkeit, das Ganze etwas zentraler zu steuern, also z.B. sagt der DC, dass alle Tickets ungültig sind und teilt somit auch gleich neue aus?

Hintergrund des Ganzen ist, dass User in eine neu angelegte Gruppe geschoben werden, die dann wiederum in ACLs eingetragen wird. Soweit kein Problem. Nun sollen aber die bisher verwendeten Gruppen im gleichen Atemzug von der ACL gelöscht werden. Da die ACL aber immer überprüft wird, hätte der User keinen Zugriff auf die Ressource, solange er sich nicht neu anmeldet, damit er sein Mitgliedschaft in der neuen Gruppe "bemerkt". Wunsch ist aber, dass das "On-The-Fly" und völlig transparent für die User abläuft.

Ein Skript, das auf allen betroffenen Clients läuft, wäre von daher also schon recht schwierig, da man dann erst rausfinden müsste, welcher Rechner denn überhaupt betroffen ist. Und in großen Umgebungen ist das auch wenig praktikabel.

Vielleicht hat ja noch jemand eine Idee.

Gruß aus Berlin

Daniel

p.s. So wie es im Moment aussieht, muss man mit dem Löschen der alten Gruppe(n) aus der ACL 10 Stunden warten, weil dann TGT und TGS erneuert werden. Schön wäre aber eine schnellere Lösung.

[Tiro]

Es tut ja prinzipiell nicht weh, beide Gruppen für 1-2 Tage nebeneinander laufen zu lassen und dann die alten Gruppen zu entfernen.