[XP]map permissies opnieuw inlezen

donderdag 18 juni 2009 12:49

ye olde farte

Het opnieuw inlezen van NTFS permissies - of liever gezegd de security Tokens van je user waar de groepen in genoemd staan - gaan per logon sessie.
Je kan de Token session tijd inkorten, maar ik zou het niet aanraden.

[ Voor 5% gewijzigd door alt-92 op 18-06-2009 11:44 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

donderdag 18 juni 2009 12:59

Topicstarter

Is het ook niet mogelijk om dit met een script apart éénmalig aan te roepen. Voor sommige gebruikers komt dit namelijk een keer of 5 per dag voor dat er nieuwe rechten worden toegepast (iedere order krijgt namelijk automatisch aparte security rechten mee).
Gpupdate is overigens alleen voor policies.

Ik heb nu ook diverse tools geprobeerd uit de windows 2003 resource kit maar daar lijkt ook niets nuttigs bij te zitten.

[ Voor 24% gewijzigd door Avvd op 18-06-2009 12:59 ]

Acties:

Craven

Outerspace schreef op donderdag 18 juni 2009 @ 10:02:
gpupdate /force?
of zit ik weer verkeerd te denken

daarmee kun je alleen de gpo's updaten.

ontopic:
maar ehh wat alt-92 nu dus zegt is dat als ik de ntfs permissies op mijn server aanpas terwijl ik ingelogd ben dat dat pas toegepast word voor elke gebruiker zodra hij weer opnieuw inlogd? Of begrijp ik het nu helemaal verkeerd.
Heb net even lopen testen namelijk en volgens mij worden de ntfs permissies gewoon direct doorgesluisd naar de gebruiker. Zodra ik de deny permissies op mijn (w2k8) server heb ingesteld op mijn specifieke account dan kom ik die map niet meer in.

donderdag 18 juni 2009 13:00

Acties:

donderdag 18 juni 2009 13:01

Moderator SSC/WOS

F7 - Nee - Ja

Waar hebben we het precies over?

Aangepaste NTFS rechten op fileshares dmv groepen waar de user al lid van is
Wordt de user lid gemaakt van nieuwe groepen.

Het eerste zou nl. direct al moeten werken. Ik vermoed dus dat je de user lid maakt van nieuw aangemaakte groepen, en dan moet inderdaad zijn TGT-ticket bijgewerkt worden. Dit gebeurt bij opnieuw aanmelden, of bij het verlopen van het TGT ticket. (default 10 uur geldig).

Session tickets zijn met Kerbtray.exe nog te purgen, waarna deze opnieuw aangevraagd worden. Na het purgen van een TGT-ticket moet echter opnieuw verplicht aangelogged worden. Handmatig is hier dus weinig aan te doen.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

Acties:

donderdag 18 juni 2009 13:03

Topicstarter

als je op een map een groep toevoegd waar er gebruiker al lid van is wordt het wel direct doorgevoerd maar als een groep al lid is van een map en je voegt een gebruiker toe aan die desbetreffende groep wordt het niet doorgevoerd.

Edit:
Het gaat inderdaad om de 2e optie. Kerbtray is volgens mij alleen maar voor het weergeven van die tickets.

[ Voor 19% gewijzigd door Avvd op 18-06-2009 13:03 ]

Acties:

donderdag 18 juni 2009 13:05

Moderator SSC/WOS

F7 - Nee - Ja

Klopt precies.

Groeplidmaatschappen staan in je TGT-ticket. Een TGT-ticket wordt enkel bijgewerkt na het verlopen van het ticket (waarna automatisch een nieuw aangevraagd wordt). Of bij aanloggen, waar de user automatisch een nieuw TGT-ticket krijgt.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

Acties:

donderdag 18 juni 2009 13:07

Topicstarter

Is het dat niet mogelijk om het ticket op commando te laten verlopen zodat er dan automatisch een nieuwe wordt aangevraagd.

Acties:

donderdag 18 juni 2009 13:10

ye olde farte

Blueone schreef op donderdag 18 juni 2009 @ 12:49:
Voor sommige gebruikers komt dit namelijk een keer of 5 per dag voor dat er nieuwe rechten worden toegepast (iedere order krijgt namelijk automatisch aparte security rechten mee).

En een nieuwe Security groep = nieuwe TGT aanvragen.

Kun je dan niet beter op zoek gaan naar een andere manier?
Om nou voor elke order nieuwe security groepen aan te maken is ook zowat, dat betekent dat je per maand al gauw op een stuk of honderd nieuwe groepen uitkomt (uitgaande van je bovenstaande opmerking).

Qua beheer lijkt me dat ook niet echt jofelnootje.

Blueone schreef op donderdag 18 juni 2009 @ 13:05:
Is het dat niet mogelijk om het ticket op commando te laten verlopen zodat er dan automatisch een nieuwe wordt aangevraagd.

Je kan de sessietijd inkorten zodat er elk uur ipv de default TGT lifetime van 10 uur wordt gewerkt.

[ Voor 20% gewijzigd door alt-92 op 18-06-2009 13:08 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

donderdag 18 juni 2009 14:27

Moderator SSC/WOS

F7 - Nee - Ja

Voor zover ik weet niet, maar ik kom hier een forumthread tegen waar ze zeggen dat het wél kan.

Test het eens uit zou ik zeggen. (en post het resultaat)

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

Acties:

zondag 21 juni 2009 23:08

Topicstarter

Ik had het uitgeprobeerd maar bij het uitvoeren van "klist TGT" krijg ik de volgende foutmelding te zien:

Error calling function LsaCallAuthenticationPackage: 0
FormatMessage failed with 1815

er is dan ook geen nieuw ticket te vinden.

Acties:

woensdag 24 juni 2009 15:59

Topicstarter

schop

Acties:

woensdag 24 juni 2009 16:06

Topicstarter

iemand?

Acties:

woensdag 24 juni 2009 17:40

ye olde farte

alt-92 schreef op donderdag 18 juni 2009 @ 13:07:

Je kan de sessietijd inkorten zodat er elk uur ipv de default TGT lifetime van 10 uur wordt gewerkt.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

dinsdag 30 juni 2009 21:00

Moderator SSC/WOS

F7 - Nee - Ja

Weet je wel zeker dat dit helpt? Volgens mij wordt de PAC van het TGT-ticket (Privilege Attribute Certificate) welke de groeplidmaatschap van de gebruiker weergeeft enkel vernieuwd bij een renewal van het TGT ticket, niet bij een refresh.

Een TGT-ticket wordt echter default pas na 7 dagen vernieuwd...

Blueone schreef op woensdag 24 juni 2009 @ 15:59:
iemand?

Ik heb de procedure die ik eerder aanhaal even getest en deze werkt bij mij gewoon. Je moet wel eerst gebruik maken van een applicatie die Kerberos gebruikt. Dat kun je bv even afdwingen door met een UNC-pad te verbinden naar een netwerkshare.

Als ik met Kerbtray.exe meekijk zie ik dat ook pas daarna een nieuw TGT verleend wordt door de KDC.

Hier ook nog een artikel uit een boek wat dezelfde procedure aanhaald. (ik kan er alleen niet uit copy/pasten).

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

Acties:

woensdag 1 juli 2009 08:31

Topicstarter

Ik heb er nog even mee zitten experimenteren vandaag en opzich lukt het wel (soms wel, soms niet). Echt een ideaale manier is het dus niet. Wat zijn is eigenlijk het gevolg als je de update tijd van het tgt ticket op bijvoorbeeld iedere seconde zet (bij wijze van spreken). Is er een speciale reden dat het op 10uur staat?

Ik had nu ook geprobeerd om één vaste groep op een user te zetten om daar vervolgens weer de wisselende rechten op te zetten met de hoop dat het lukte maar je blijft dus hetzelfde houden.

Acties:

woensdag 1 juli 2009 10:11

Moderator SSC/WOS

F7 - Nee - Ja

Blueone schreef op dinsdag 30 juni 2009 @ 21:00:
Wat zijn is eigenlijk het gevolg als je de update tijd van het tgt ticket op bijvoorbeeld iedere seconde zet (bij wijze van spreken). Is er een speciale reden dat het op 10uur staat?

Waarschijnlijk om de load op de KDC (Key Distribution Center) niet al te hoog laten worden. De KDC is een onderdeel van het "Domain Controller zijn" en zorgt voor het uitgeven van zowel het TGT als het Session-ticket.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

Acties:

donderdag 2 juli 2009 09:41

Topicstarter

Oke, ik heb het nu toch voor elkaar gekregen om het allemaal fatsoenlijk in een script te krijgen alleen één stukje kan ik niet helemaal automatiseren en dat is het "klite purge", hier wordt namelijk bij ieder ticket om een bevestiging gevraagd die je dan met "Y" moet beantwoorden. Er zit in klite ook geen force/quiet/silent mode ofzo. iemand nog een tip om de tickets autmatisch te purgen?

dit is in iedergeval zoals ik het nu heb (en werkt):

batch file 1:
klite purge (die vraagt dus om user activiteit)
runas /user:domain\user deel2.bat

batch file 2:
gpupdate /force ==> blijkt toch niet nodig te zijn.
taskkill /f /im explorer.exe
explorer.exe

Acties:

vrijdag 3 juli 2009 00:07

Topicstarter

schopje

Acties:

Verwijderd

Blueone schreef op woensdag 01 juli 2009 @ 10:11:
Oke, ik heb het nu toch voor elkaar gekregen om het allemaal fatsoenlijk in een script te krijgen alleen één stukje kan ik niet helemaal automatiseren en dat is het "klite purge", hier wordt namelijk bij ieder ticket om een bevestiging gevraagd die je dan met "Y" moet beantwoorden. Er zit in klite ook geen force/quiet/silent mode ofzo. iemand nog een tip om de tickets autmatisch te purgen?

dit is in iedergeval zoals ik het nu heb (en werkt):

batch file 1:
klite purge (die vraagt dus om user activiteit)
runas /user:domain\user deel2.bat

Ik ben een paar daagjes begonnen met autoit, daar kan dit mee

run ("klist purge")
Send ("y")
Send ("y")
Send ("y")
Send ("y")

dit scrippie draait klist purge en stuurt vervolgens 4 keer y naar het actieve venster.

nadeel is wel dat als een gebruiker net op het moment dat je script uitvoert een ander venster aanklikt, er 4 keer y naar dat venster verstuurt wordt...

maar dan moet die gebruiker wel snel wezen

om explorer opnieuw op te starten, plak je dit erachter

processclose ("explorer.exe")
run (@ComSpec & " /c " & "start explorer.exe")

als je run ("explorer.exe") doert ipv run (@ComSpec & " /c " & "start explorer.exe") start ie om een of andere reden ook Windows Verkenner nog op

vrijdag 3 juli 2009 07:58

Acties:

vrijdag 3 juli 2009 08:12

Moderator SSC/WOS

F7 - Nee - Ja

Verwijderd schreef op vrijdag 03 juli 2009 @ 00:07:
[...]
dit scrippie draait klist purge en stuurt vervolgens 4 keer y naar het actieve venster.

En als je nu niet vier maar bijvoorbeeld vijf tickets hebt die gepurged moeten worden?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

Acties:

vrijdag 3 juli 2009 09:38

ye olde farte

Verwijderd schreef op vrijdag 03 juli 2009 @ 00:07:
als je run ("explorer.exe") doert ipv run (@ComSpec & " /c " & "start explorer.exe") start ie om een of andere reden ook Windows Verkenner nog op

offtopic:
wat had je dan verwacht dat er zou gebeuren?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

vrijdag 3 juli 2009 11:02

Topicstarter

Is klite niet gewoon gebaseerd op .net framework zoals vele andere applicaties? want dan zou het ook gewoon mogelijk moeten zijn om het met visual basic of C# te programmeren (het purgen van de tickets dan).

Acties:

vrijdag 3 juli 2009 12:23

ye olde farte

Klist bedoel je?
C++.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

vrijdag 3 juli 2009 12:39

Topicstarter

ik bedoel inderdaad klist.

opzich zou het dan ook mogelijk moeten zijn om het met c++ te programmeren (dat hij de purge doet zonder een bevestiging te vragen).

Acties:

vrijdag 3 juli 2009 15:07

ye olde farte

http://msdn.microsoft.com...ry/cc233855(PROT.13).aspx

have fun

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

vrijdag 3 juli 2009 18:10

Topicstarter

hmm mischien moet ik me daar dan toch maar in gaan verdiepen.

Is klite eigenlijk de enige tool die het purgen kan (kerbtray kan je niet via de commandline uitvoeren).

kerbtray kan ze dan wel weer allemaal tegelijk purgen.

Acties:

Verwijderd

Question Mark schreef op vrijdag 03 juli 2009 @ 07:58:
[...]

En als je nu niet vier maar bijvoorbeeld vijf tickets hebt die gepurged moeten worden?

run ("klist purge")
While ProcessExists("klist.exe")
Send ("y")
WEnd
processclose ("explorer.exe")
runwait (@ComSpec & " /c " & "start explorer.exe", "", @SW_HIDE)

vrijdag 3 juli 2009 23:38

Acties: