Een gebruiker heeft groepslidmaatschap gewijzigd maar krijgt nog oude rechten.
Kerberos-tickets zijn 10 uur geldig (default). Wijzigen van groepslidmaatschap landt pas na een nieuwe TGT, dus na uitloggen en opnieuw inloggen, of een ticket-purge.
Probeer dit eerst zelf
- 1Op de pc van de gebruiker: klist toont alle tickets. klist purge wist ze. Daarna klist tgt om een nieuwe TGT te vragen, vereist nieuwe AD-roundtrip.
- 2Snelste fix: gewoon uitloggen en opnieuw inloggen. Reboot is overdreven maar werkt ook.
- 3Voor een service-account dat als service draait: de service moet herstart, anders blijft hij op zijn oude ticket draaien.
- 4Bij replicatielag tussen DC's: de gebruiker heeft groepswijziging op DC1 gekregen, maar logt in via DC2 die nog niet gerepliceerd heeft. Forceer repadmin /syncall als urgent.
- 5Voor file-share toegang: ook SMB-sessies cachen rechten. Net use * /delete op de client kan helpen om opnieuw te authenticeren.
Wanneer ons inschakelen
Bij persistent rechten-issue dat niet opgelost wordt door re-login: check Universal Group Membership Caching, AD-trust-direction en eventuele tokens-too-large fout (gebruiker in te veel groepen).
Zie ook
- Eén DC of twee DC's voor een MKB-kantoor?Twee is bijna altijd het juiste antwoord; één DC is een single point of failure voor logon, DNS en GPO.
- Moet ik FSMO-rollen verdelen over twee DC's?Voor een klein domein mag alles op één DC; bij twee DC's is verdelen netter maar geen must.
- Hoe weet ik of mijn AD-replicatie gezond is?Replicatie-fouten sluipen er stilletjes in; ze worden pas zichtbaar als logins of GPO's gek doen.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.