工作站上的管理员帐户可以通过哪些方式触发访问令牌更新？

Question

当更改授予BUILTIN\Administrators. 特别是，管理员的组成员身份不会在工作站上更新，直到管理员像普通用户一样登录桌面。这是提出这个问题的场景：

开始设置：

• WSAdminGroup1具有成员的 域组
  • admin1
• 工作站ws1：
  • WSAdminGroup1 是会员 BUILTIN\Administrators
  • user1 是会员 BUILTIN\Users
• 当user1遇到一个UAC提示，admin1可以授权高程

变化：

• 添加WSAdminGroup2具有成员的 域组
  • admin2
• 添加WSAdminGroup2到BUILTIN\Administrators

结果：

• 当user1遇到UAC提示，admin2不能授权标高

所以我们有一个管理员admin2，他应该通过他们的域组成员身份在BUILTIN\Administrators工作站上拥有成员ws1身份，WSAdminGroup2但无法授权 UAC 提升提示ws1。

等待，重新启动或签署了再多user1造成admin2获得工作站的管理员权限。事实证明，登录工作站桌面admin2最终导致admin2获得管理员访问权限。

这表明管理员admin2的访问令牌ws1直到admin2登录到桌面才在工作站上更新。但我还没有找到与该结论一致的文件。

无论如何，我想深入了解以下问题：

1. admin2当这种情况发生时，管理员的访问令牌到底发生了什么？
2. 对于不经常登录工作站桌面的身份（如管理员），是否有其他方法可以触发新的访问令牌的发布，以反映更多最新的组成员身份？
3. 任何不涉及登录桌面的授权方式（如 PowerShell 远程处理，或调用“以管理员身份运行”）是否会导致发布新的访问令牌？

Answer 1

您可以考虑使用Windows 的受保护用户功能（如本答案中所述）来完全防止缓存管理员凭据。这也有助于减轻横向移动风险。