Active directory 如何在Windows广告中为已登录用户重新申请权限而不使其再次登录

我正在从组G远程删除用户U。 但我必须注销并登录用户U，以确保G组的权限不再应用于用户U

这是在Windows 2008服务器上

是否有一种方法可以在用户登录时强制执行整个权限计算（在用户登录时完成）

---

提前感谢。

用户所属的组SID列表是在用户令牌中计算的，该令牌插入到他的进程中，因此我认为，您需要注销/登录

---

您可以在Windows平台SDK中找到@Brian Desmond描述的Klist.exe的源代码（美国的API是

LsaCallAuthenticationPackage

）

---

您可以使用类似klist purge的方法清除Kerberos TGT（以及所有服务票证）。我不知道该调用什么API以编程方式实现这一点

---

不过，当您访问远程资源时，这只会刷新令牌中的组（和权限）

谢谢你，布朗先生。是否有其他方法向用户授予临时权限（例如注册表编辑），以便我可以在不让用户注销的情况下撤销权限，并且onKlist是Windows Server 2003资源工具包工具的一部分？如果@django出现问题，是否要在用户计算机上运行？是否可以使用PSTOOLS从服务器到用户计算机远程执行它？2003年是的，它是一个reskit工具，2008年+它在box中提供。我真的不想从应用程序调用它，而是想知道它调用了什么API，然后自己做。好吧，布莱恩，但我的问题更多：添加它以在客户端计算机上运行？是的，这必须在用户登录的计算机上本地运行。请记住，默认情况下，路边车票的生命周期为10小时，因此，在相对较短的时间内，这些更改将被拾取。谢谢，您知道是否有WMI类可以执行此操作吗？

C:\Program Files\Microsoft SDKs\Windows\v7.0\Samples\security\authorization\klist