Udostępnij za pośrednictwem

Zmiany członkostwa w grupach nie są aktualizowane za pośrednictwem niektórych połączeń sieci VPN

W tym artykule opisano sytuację, w której użytkownicy sieci VPN mogą napotkać problemy z dostępem do zasobów lub konfiguracją po zmianie członkostwa w grupie.

Dotyczy: wszystkie obsługiwane wersje klienta systemu Windows

Symptomy

W odpowiedzi na pandemię Covid-19 coraz większa liczba użytkowników pracuje teraz, uczy się i towarzysko z domu. Łączą się z miejscem pracy przy użyciu połączeń sieci VPN. Ci użytkownicy sieci VPN zgłaszają, że po dodaniu lub usunięciu ich z grup zabezpieczeń zmiany mogą nie obowiązywać zgodnie z oczekiwaniami. Zgłaszają objawy, takie jak:

  • Zmiany dostępu do zasobów sieciowych nie obowiązują.
  • Obiekty zasad grupy (GPO), które docelowe określone grupy zabezpieczeń nie mają poprawnego zastosowania.
  • Zasady przekierowania folderu nie są prawidłowo stosowane.
  • Reguły funkcji AppLocker przeznaczone dla określonych grup zabezpieczeń nie działają.
  • Skrypty logowania, które tworzą zamapowane dyski, w tym mapy folderów domowych użytkownika lub dysków GPP, nie działają.
  • Polecenie whoami /groups (uruchamiane w wierszu polecenia) zgłasza nieaktualną listę członkostwa w grupach dla lokalnego kontekstu zabezpieczeń użytkownika.
  • Polecenie gpresult /r (uruchamiane w wierszu polecenia) zgłasza nieaktualną listę członkostwa w grupach.

Jeśli użytkownik blokuje się, a następnie odblokuje system Windows, gdy klient pozostaje połączony z siecią VPN, niektóre z tych objawów rozwiążą się samodzielnie. Na przykład niektóre zmiany dostępu do zasobów zaczęły obowiązywać. Następnie, jeśli użytkownik wylogowa się z systemu Windows, a następnie zaloguje się ponownie (zamykając wszystkie sesje korzystające z zasobów sieciowych), więcej objawów rozwiąże. Jednak skrypty logowania mogą nie działać poprawnie, a gpresult /r polecenie może nadal nie odzwierciedlać zmian członkostwa w grupie. Użytkownik nie może obejść problemu runas za pomocą polecenia , aby uruchomić nową sesję systemu Windows na kliencie. To polecenie używa tylko tych samych informacji o poświadczeniach, aby rozpocząć nową sesję.

Zakres tego artykułu obejmuje środowiska, w których zaimplementowano mechanizm uwierzytelniania (AMA) w domenie, oraz w których użytkownicy muszą uwierzytelniać się przy użyciu karty inteligentnej w celu uzyskania dostępu do zasobów sieciowych. Aby uzyskać więcej informacji, zobacz Opis użycia usługi AMA w interaktywnych scenariuszach logowania w systemie Windows.

Przyczyna

W środowisku office często użytkownik wylogował się z systemu Windows na końcu dnia roboczego. Gdy użytkownik zaloguje się następnego dnia, klient jest już połączony z siecią i ma bezpośredni dostęp do kontrolera domeny. W tych warunkach zmiany członkostwa w grupach zaczęły obowiązywać szybko. Użytkownik ma poprawne poziomy dostępu następnego dnia (następnym razem, gdy użytkownik się zaloguje). Podobnie zmiany zasad grupy wydają się obowiązywać w ciągu jednego lub dwóch dni (po zalogowaniu się użytkownika jeden lub dwa razy, w zależności od zasad, które mają zostać zastosowane).

W środowisku domowym użytkownik może odłączyć się od sieci VPN na końcu produktu workday i zablokować system Windows. Mogą nie wylogować się. Gdy użytkownik odblokuje system Windows (lub zaloguje się) następnego ranka, klient nie łączy się z siecią VPN (i nie ma dostępu do kontrolera domeny), dopóki użytkownik nie odblokował systemu Windows lub zalogował się. Klient loguje użytkownika do systemu Windows przy użyciu buforowanych poświadczeń zamiast skontaktować się z kontrolerem domeny w celu uzyskania nowych poświadczeń. System Windows tworzy kontekst zabezpieczeń dla użytkownika, który jest oparty na buforowanych informacjach. System Windows stosuje również zasady grupy asynchronicznie na podstawie lokalnej pamięci podręcznej zasad grupy. To użycie buforowanych informacji może spowodować następujące zachowanie:

  • Użytkownik może mieć dostęp do zasobów, których nie powinien mieć i może nie mieć dostępu do zasobów, które powinny mieć.
  • Ustawienia zasad grupy mogą nie być stosowane zgodnie z oczekiwaniami lub ustawienia zasad grupy mogą być nieaktualne.

Takie zachowanie występuje, ponieważ system Windows używa buforowanych informacji w celu zwiększenia wydajności podczas logowania użytkowników. System Windows używa również informacji buforowanych do logowania użytkowników na klientach przyłączonych do domeny, które nie są połączone z siecią. Nieoczekiwane konsekwencje występują, jeśli klient używa wyłącznie sieci VPN do nawiązania połączenia z siecią, a klient nie może nawiązać połączenia sieci VPN, dopóki użytkownik nie zaloguje się.

Ważne

To zachowanie jest istotne tylko w scenariuszu logowania interakcyjnego. Dostęp do zasobów sieciowych działa zgodnie z oczekiwaniami, ponieważ logowanie sieciowe nie korzysta z informacji buforowanych. Zamiast tego informacje o grupie pochodzą z zapytania kontrolera domeny.

Wpływ na kontekst zabezpieczeń użytkownika i kontrolę dostępu

Jeśli klient nie może nawiązać połączenia z kontrolerem domeny podczas logowania użytkownika, system Windows opiera kontekst zabezpieczeń użytkownika na buforowanych informacjach. Po utworzeniu kontekstu zabezpieczeń użytkownika przez system Windows nie zostanie on zaktualizowany do momentu następnego zalogowania się użytkownika.

Załóżmy na przykład, że użytkownik jest przypisany do grupy w usłudze Active Directory, gdy użytkownik jest w trybie offline. Użytkownik loguje się do systemu Windows, a następnie nawiązuje połączenie z siecią VPN. Jeśli użytkownik otworzy okno wiersza polecenia, a następnie uruchomi whoami /groups polecenie, lista grup nie zawiera nowej grupy. Użytkownik blokuje, a następnie odblokuje pulpit, gdy nadal jest połączony z siecią VPN. Polecenie whoami /groups nadal generuje ten sam wynik. Na koniec użytkownik wy wylogował się z systemu Windows. Po ponownym whoami /groups zalogowaniu się użytkownika polecenie generuje prawidłowy wynik.

Wpływ buforowanych informacji na dostęp użytkownika do zasobów zależy od następujących czynników:

  • Czy zasoby znajdują się na kliencie, czy w sieci
    Zasoby w sieci wymagają dodatkowego kroku uwierzytelniania (logowanie sieciowe zamiast logowania interakcyjnego). Ten krok oznacza, że informacje o grupie używane przez zasób do określania dostępu zawsze pochodzą z kontrolera domeny, a nie z pamięci podręcznej klienta.
  • Czy zasoby używają biletów Protokołu Kerberos lub innych technologii (takich jak tokeny dostępu NTLM) do uwierzytelniania i autoryzacji użytkowników
    • Aby uzyskać szczegółowe informacje na temat wpływu buforowanych informacji na dostęp użytkowników do zasobów zabezpieczonych za pomocą protokołu NTLM, zobacz Zasoby, które opierają się na uwierzytelnianiu NTLM.
    • Aby uzyskać szczegółowe informacje na temat wpływu buforowanych informacji na dostęp użytkowników do zasobów zabezpieczonych za pomocą protokołu Kerberos, zobacz Zasoby, które korzystają z biletów protokołu Kerberos.
  • Czy użytkownik wznawia istniejącą sesję zasobów, czy rozpoczyna nową sesję zasobów
  • Czy użytkownik blokuje i odblokuje klienta podczas nawiązywania połączenia z siecią VPN
    Jeśli użytkownik zablokuje klienta podczas nawiązywania połączenia z siecią VPN, a następnie odblokuje go, klient aktualizuje jego pamięć podręczną grup użytkowników. Jednak ta zmiana nie ma wpływu na istniejący kontekst zabezpieczeń użytkownika ani żadne sesje, które były uruchomione, gdy użytkownik zablokował klienta.
  • Czy użytkownik wylogował się z klienta podczas połączenia z siecią VPN, a następnie zalogował się ponownie
    Skutki wylogowania, a następnie logowania różnią się w zależności od tego, czy użytkownik zablokował i odblokował klienta jako pierwszy podczas nawiązywania połączenia z siecią VPN. Zablokowanie klienta, a następnie odblokowanie go aktualizuje pamięć podręczną informacji o użytkowniku używanych przez klienta podczas następnego logowania.

Zasoby, które korzystają z uwierzytelniania NTLM

Ta kategoria zasobów obejmuje następujące elementy:

  • Sesja użytkownika na kliencie

  • Wszystkie sesje zasobów na kliencie korzystającym z uwierzytelniania NTLM

  • Wszystkie sesje zasobów w sieci, które korzystają z uwierzytelniania NTLM

    Ważne

    Gdy użytkownik uzyskuje dostęp do zasobu w sieci wymagającej uwierzytelniania NTLM, klient przedstawia poświadczenia buforowane z kontekstu zabezpieczeń użytkownika. Jednak serwer zasobów wysyła zapytanie do kontrolera domeny pod kątem najnowszych informacji o użytkowniku.

Te sesje zasobów, w tym sesja użytkownika na kliencie, nie wygasają. Będą one nadal działać, dopóki użytkownik nie zakończy sesji, na przykład gdy użytkownik wyjdą z systemu Windows. Blokowanie, a następnie odblokowywanie klienta nie kończy istniejących sesji.

Zasoby, które korzystają z biletów Protokołu Kerberos

Gdy użytkownik łączy się z siecią VPN, a następnie próbuje uzyskać dostęp do zasobu sieciowego korzystającego z biletów protokołu Kerberos, centrum dystrybucji kluczy Protokołu Kerberos (KDC) pobiera informacje użytkownika z usługi Active Directory. Centrum dystrybucji kluczy używa informacji z usługi Active Directory do uwierzytelniania użytkownika i tworzenia biletu przyznania biletu (TGT). Informacje o członkostwie w grupie w TGT są aktualne w momencie utworzenia biletu TGT.

Następnie system Windows używa biletu TGT do uzyskania biletu sesji dla żądanego zasobu. Bilet sesji używa z kolei informacji o grupie z biletu TGT.

Klient buforuje TGT i nadal używa go za każdym razem, gdy użytkownik uruchamia nową sesję zasobów, zarówno lokalną, jak i w sieci. Klient buforuje również bilet sesji, aby mógł nadal łączyć się z zasobem (na przykład po wygaśnięciu sesji zasobu). Po wygaśnięciu biletu sesji klient ponownie przesyła bilet TGT na nowy bilet sesji.

Ważne

Jeśli członkostwo w grupie użytkownika zmieni się po rozpoczęciu sesji zasobów przez użytkownika, następujące czynniki kontrolują, kiedy zmiana rzeczywiście wpływa na dostęp do zasobów użytkownika:

  • Zmiana członkostwa w grupie nie ma wpływu na istniejące sesje.
    Istniejące sesje będą kontynuowane do momentu wylogowania użytkownika lub zakończenia sesji lub do momentu wygaśnięcia sesji. Po wygaśnięciu sesji następuje jedna z następujących czynności:
    • Klient ponownie przesyła bilet sesji lub przesyła nowy bilet sesji. Ta operacja odnawia sesję.
    • Klient nie próbuje ponownie nawiązać połączenia. Sesja nie jest odnawiana.
  • Zmiana członkostwa w grupie nie ma wpływu na bieżący TGT ani żadnych biletów sesji utworzonych przy użyciu tego biletu TGT.
    Usługa udzielania biletów (TGS) używa informacji o grupie z biletu TGT do utworzenia biletu sesji zamiast wykonywania zapytań dotyczących samej usługi Active Directory. TGT nie jest odnawiany, dopóki użytkownik nie zablokuje klienta lub wylogowa się lub dopóki TGT nie wygaśnie (zazwyczaj 10 godzin). Bilet TGT można odnowić przez 10 dni.

Możesz użyć polecenia klist, aby ręcznie przeczyścić pamięć podręczną biletów klienta.

Uwaga 16.

Pamięć podręczna biletów przechowuje bilety dla wszystkich sesji użytkownika na komputerze. Możesz użyć klist opcji wiersza polecenia, aby kierować polecenie do określonych użytkowników lub biletów.

Wpływ na procesy uruchamiania i logowania

Usługa zasad grupy jest zoptymalizowana pod kątem przyspieszenia stosowania zasad grupy i zmniejszenia negatywnych skutków dla wydajności klienta. Aby uzyskać więcej informacji, zobacz Omówienie wpływu szybkiej optymalizacji logowania i szybkiego uruchamiania w zasadach grupy. Ten artykuł zawiera szczegółowe wyjaśnienie sposobu interakcji zasad grupy z procesami uruchamiania i logowania. Usługa zasad grupy może działać na pierwszym planie (przy uruchamianiu lub logowaniu) lub w tle (podczas sesji użytkownika). Usługa przetwarza zasady grupy w następujący sposób:

  • Przetwarzanie asynchroniczne odnosi się do procesów, które nie zależą od wyniku innych procesów.
  • Przetwarzanie synchroniczne odnosi się do procesów, które zależą od siebie wyniku. W związku z tym procesy synchroniczne muszą czekać na zakończenie poprzedniego procesu przed rozpoczęciem następnego procesu.

W poniższej tabeli podsumowano zdarzenia wyzwalające przetwarzanie pierwszego planu lub w tle oraz to, czy przetwarzanie jest synchroniczne, czy asynchroniczne.

Wyzwalacz Synchroniczne lub asynchroniczne Pierwszy plan lub tło
Uruchamianie lub zamykanie komputera Synchroniczne lub asynchroniczne Pierwszy plan
Logowanie użytkownika lub wylogowywanie Synchroniczne lub asynchroniczne Pierwszy plan
Zaplanowane (podczas sesji użytkownika) Asynchroniczny Tło
Akcja użytkownika (gpupdate /force) Asynchroniczny Tło

Aby zastosować zmiany konfiguracji, niektóre rozszerzenia po stronie klienta (CSE) wymagają synchronicznego przetwarzania (podczas logowania użytkownika lub uruchamiania komputera). W takich przypadkach CSE identyfikuje potrzebę zmiany podczas przetwarzania w tle. Przy następnym zalogowaniu się użytkownika lub uruchomieniu komputera CSE kończy zmianę w ramach fazy przetwarzania synchronicznego.

Niektóre z tych kontrolerów domeny mają dodatkową komplikację: muszą łączyć się z kontrolerami domeny lub innymi serwerami sieciowymi podczas wykonywania synchronicznego przetwarzania. Folder Redirection and Scripts CSEs to dwa z CSE w tej kategorii.

Ten projekt działa skutecznie w środowisku biurowym. Jednak w środowisku roboczym w domu użytkownik może nie wylogować się i wrócić podczas nawiązywania połączenia z domeną. Przetwarzanie synchroniczne musi zakończyć się przed kontaktem klienta z kontrolerem domeny lub innym serwerem. W związku z tym niektórych zasad nie można zastosować ani zaktualizować poprawnie.

Na przykład zmiana przekierowania folderów wymaga następujących elementów:

  • Przetwarzanie synchroniczne pierwszego planu (podczas logowania użytkownika).
  • Połączenie z kontrolerem domeny. Połączenie musi być dostępne podczas przetwarzania.
  • Połączenie z serwerem plików, który hostuje foldery docelowe przekierowania. Połączenie musi być dostępne podczas przetwarzania.

W rzeczywistości ta zmiana może obejmować dwa logowania. Podczas pierwszego logowania serwer CSE przekierowania folderów na kliencie wykrywa potrzebę zmiany i żąda uruchomienia synchronicznego przetwarzania pierwszego planu. Podczas następnego logowania CSE implementuje zmianę zasad.

Wpływ na raportowanie zasad grupy

Usługa Zasady grupy przechowuje informacje o członkostwie grupy na kliencie, w instrumentacji zarządzania Windows (WMI) i w rejestrze. Magazyn WMI jest używany w raporcie Wynikowy zestaw zasad (generowany przez uruchomienie polecenia gpresult /r). Nie służy do podejmowania decyzji o tym, które obiekty zasad grupy są stosowane.

Uwaga 16.

Możesz wyłączyć funkcję Wynikowy zestaw raportowania zasad, włączając opcję Wyłącz wynikowy zestaw zasad rejestrowania .

W następujących okolicznościach usługa zasad grupy nie aktualizuje informacji o grupie w usłudze WMI:

  • Zasady grupy są uruchomione w tle. Na przykład podczas okresowych odświeżeń po uruchomieniu komputera lub zalogowaniu użytkownika lub gdy użytkownik uruchamia gpupdate /force polecenie w celu odświeżenia zasad grupy.
  • Zasady grupy są uruchamiane z pamięci podręcznej zasad grupy. Na przykład gdy użytkownik loguje się, gdy klient nie ma dostępu do kontrolera domeny.

To zachowanie oznacza, że lista grup na kliencie tylko sieci VPN może być zawsze nieaktualna, ponieważ usługa zasad grupy nie może nawiązać połączenia z siecią podczas logowania użytkownika. Gdy zasady grupy są uruchamiane i nie aktualizują informacji o grupie w usłudze WMI, usługa zasad grupy może rejestrować zdarzenie podobne do następującego:

GPSVC(231c.2d14) 11:56:10:651 CSessionLogger::Log: przywracanie starych zabezpieczeń grps

Możesz mieć pewność, że usługa WMI i dane wyjściowe programu gpresult /r są aktualizowane tylko wtedy, gdy w dzienniku usługi zasad grupy zostanie wyświetlony następujący wiersz dla konta, które badasz:

GPSVC(231c.2d14) 11:56:10:651 CSessionLogger::Log: rejestrowanie nowych grps zabezpieczeń

Rozwiązanie

Aby rozwiązać problemy opisane w tym artykule, użyj rozwiązania sieci VPN, które może nawiązać połączenie sieci VPN z klientem przed zalogowaniem się użytkownika.

Obejścia

Jeśli nie możesz użyć sieci VPN, która ustanawia połączenie klienta przed zalogowaniem użytkownika, te obejścia mogą rozwiązać problemy opisane w tym artykule.

Obejście kontekstu zabezpieczeń użytkownika i kontroli dostępu

Po dodaniu użytkownika do grupy lub usunięciu użytkownika z grupy podaj następujące kroki dla użytkownika. Ta procedura zapewnia jedyne obsługiwane obejście, które odświeża kontekst zabezpieczeń użytkownika na klientach, którzy nie łączą się z siecią VPN przed zalogowaniem się użytkownika.

Ważne

Poczekaj, aż zmiana członkostwa zostanie zreplikowana między kontrolerami domeny, zanim użytkownik uruchomi tę procedurę.

  1. Zaloguj się do komputera klienckiego, a następnie połącz się z siecią VPN, jak zwykle.
  2. Jeśli masz pewność, że komputer kliencki jest połączony z siecią VPN, zablokuj system Windows.
  3. Odblokuj komputer kliencki, a następnie wyloguj się z systemu Windows.
  4. Zaloguj się ponownie do systemu Windows.

Informacje o członkostwie w grupie (i dostęp do zasobów) są teraz aktualne.

Informacje o członkostwie w grupie można sprawdzić, otwierając okno wiersza polecenia, a następnie uruchamiając polecenie whoami /all.

Uwaga 16.

Aby zautomatyzować kroki blokowania i odblokowywania tej procedury, możesz użyć następującego skryptu programu Windows PowerShell. W tym procesie użytkownik musi zalogować się do systemu Windows, a następnie musi wylogować się z systemu Windows po uruchomieniu skryptu.

$fullname = $env:userdnsdomain + "\" + "$env:username" 
$MyCred = Get-Credential -Username $fullname -Message "Update Logon Credentials"
Start-Process C:\Windows\System32\cmd.exe -ArgumentList ("/C", "exit 0") -Credential $MyCred -WindowStyle Hidden -PassThru -Wait

Obejście dotyczące procesów logowania, w tym zasad grupy

Niektóre problemy można rozwiązać, wprowadzając zmiany konfiguracji ręcznie, wprowadzając zmiany skryptów, aby skrypty mogły być uruchamiane po zalogowaniu użytkownika lub przez połączenie użytkownika z siecią VPN, a następnie wylogowanie się z systemu Windows. Może być konieczne połączenie tych podejść. W przypadku zasad grupy, w szczególności, kluczem jest zrozumienie, kiedy i jak zasady grupy mogą działać.

Uwaga 16.

Zamapowane połączenia dysków i skrypty logowania nie mają tych samych wymagań synchronicznych przetwarzania pierwszego planu co przekierowania folderów, ale wymagają one łączności kontrolera domeny i serwera zasobów.

Aby uzyskać szczegółową listę wymagań dotyczących przetwarzania cses zasad grupy, zobacz Understand the Effect of Fast Logon Optimization and Fast Startup on Group Policy (Omówienie wpływu szybkiej optymalizacji logowania i szybkiego uruchamiania w zasadach grupy).