Dans un environnement Active Directory, les utilisateurs et les ordinateurs sont souvent membres de plusieurs groupes de sécurité, ce qui permet de gérer efficacement les droits d’accès et les stratégies à appliquer. Cependant, lorsqu’un administrateur modifie l’appartenance à un groupe, ces changements ne sont généralement pris en compte qu’à la prochaine ouverture de session, voire après un redémarrage de la machine.
Cette contrainte peut s’avérer gênante, notamment dans les environnements de production où la disponibilité des postes est cruciale. Heureusement, il existe des méthodes permettant de forcer la mise à jour des jetons de sécurité sans avoir à redémarrer l’ordinateur ni à fermer la session utilisateur.
Dans cet article, nous allons explorer ces solutions pratiques pour appliquer les modifications de groupe en temps réel, tout en améliorant l’expérience utilisateur et en optimisant la gestion des ressources informatiques.
Une fois les modifications d’appartenance à un groupe effectuées dans Active Directory, il est nécessaire de mettre à jour les jetons de sécurité Kerberos pour que les changements soient pris en compte immédiatement. Sans cela, l’utilisateur ou le système ne bénéficiera pas des nouveaux droits ou restrictions tant qu’une nouvelle session ne sera pas initiée.
Côté utilisateur : purge du cache Kerberos
Pour forcer le renouvellement des tickets Kerberos d’un utilisateur sans fermer sa session, il suffit d’exécuter la commande suivante dans une invite de commandes :
klist purgeCette commande vide le cache des tickets Kerberos de l’utilisateur en cours, ce qui permet de forcer leur régénération lors de la prochaine demande d’authentification.
Côté machine (ordinateur ou serveur) : purge du cache système
Dans le cas où les modifications concernent un compte système ou un service s’exécutant sous un contexte machine, il est nécessaire de purger le cache Kerberos du système. Pour cela, exécutez la commande suivante en tant qu’administrateur :
klist -li 0x3e7 purgeLe paramètre -li 0x3e7 permet de cibler le contexte de session système (Local System), ce qui est essentiel pour les services ou tâches planifiées qui dépendent des groupes de sécurité.
Mise à jour des stratégies de groupe
Enfin, pour s’assurer que les stratégies de groupe liées aux nouvelles appartenances sont bien appliquées, il est recommandé d’exécuter la commande suivante :
gpupdate /forceCette commande force la mise à jour immédiate des stratégies de groupe, tant pour l’utilisateur que pour l’ordinateur, sans nécessiter de redémarrage.