Нашел ответ на вопрос, почему вновь добавленный в группу пользователь не получает сразу прав доступа к ресурсам, на которые есть права у группы.
Источник: microsoft.public.ru.russian.server
Вот объединили на сервере неких пользователей в группу и дали этой группе права на некие ресурсы. Потом появляется новый пользователь, достойный допуска к тем же ресурсам. Что делаем? Правильно, добавляем новичка в упомянутую группу. И что? А ничего! Не получит он сразу прав на ресурсы, в отличие от уже существующих в группе товарищей. Надо догадаться, что новый член группы должен перевойти в сеть.
и это предсказуемо. дело в том, что сервера получают kerberos access granted ticket, в котором собираются и храняться sid всех групп, в которые входит пользователь. для повторного построения этих билетов нужно, чтобы клиент потерял свой билет, связанный с этим.
Варианты: через политику можно настроить время жизни access granted ticket, либо не использовать kerberos.
--
Автор ответа: From: "Sergey S. Betke"
