Почему пользователь не входит в группу AD до двух перезаходов?
Собственно что то произошло и теперь в домене, если изменить членство пользователя в группах, применяются эти изменения не как всегда.
Раньше пользователь просто перезаходил в систему и его аккаунт понимал что он в группе. Тут же что то случилось, и теперь изменения доходят до аккаунта только после двух перезаходов.
При этом интересное наблюдение - если пользователь раньше в изменяемой группе не состоял, то изменения происходят при первом перезаходе, если же он в этой группе уже был - то только со второй.
Если кто не понял, состояние членства аккаунта в группах смотрю при помщи gpresult /R
Вопрос - в какую сторону копать? Уже голова закипать начала. В журналах на контроллере домена и компьютере - всё чисто. Я так понимаю, что после первого перезахода почемк то перестал обновляться kerberosовский token. Но вот как это проверить, а главное исправить.
Происходить такое стало на всех компьютерах в сети.
Разобрался. В 10ке что то изменили, и инициализация сети идёт дольше, чем с прошлыми версиями ос. В домене по умолчанию включена политика разрешающая вход и обработку групповых политик без ожидания сети.
Короче, получалось так - пользователь входит, сеть не инициализирована, данные берутся из локального кэша. Сеть появляется, кэш обновляется, но пользователь уже вошёл, по этому надо ещё раз перезаходить, что б данные окончательно обновились. https://www.mytechnote.ru/article/dlya-primeneniya...
А разлогинить пользователя и подождать какое-то время, прежде чем зайти снова, пробовали? Я бы поставил на то, что к первому перелогину изменения ещё не отреплицировались, а пока пользователь выходит и заходит второй раз -- всё уже долетает.