Wenn Sie einem Benutzer neue Gruppenmitgliedschaften eingerichtet haben, dann kann der User diese Gruppen erst wirksam einsetzen, nachdem der lokale Security Token auf den Rechner, an dem der User angemeldet, aktualisiert wurde.
Wenn ein User lokal arbeitet, dann ist der einfachste Weg, dass er sich einmal Ab- und wieder Anmeldet. Dann wird – wenn die Verbindung zum Domänencontroller steht – eine neuer Security Token mit allen aktuellen Gruppenmitgliedschaften gebildet und lokal abgespeichert.
Für Remote-Benutzer, die erst nach der lokalen Anmeldung die Verbindung zum Domänencontroller über VPN herstellen, kann dies ein Problem darstellen… da sie bei der Anmeldung nicht mit dem Netzwerk verbunden sind und daher keine Verbindung zu einem Domänencontroller haben, um ein aktualisiertes Sicherheitstoken zu erhalten. Natürlich mögen einige Benutzer vor Ort manchmal auch nicht gerne alles schließen, um sich ab- und wieder anzumelden. Wie umgehen Sie das?
Hier der Trick in 3 einfachen Schritten:
Schritt 1: Verbindung zum Domänencontroller herstellen
Wenn wir es mit Remote-Benutzern in einem VPN zu tun haben, lassen Sie sie sich zuerst mit dem VPN verbinden, bevor Sie etwas anderes tun.Schritt 2: Kill Explorer.exe
Öffnen Sie den Task-Manager und beenden Sie explorer.exe. Das Startmenü des Benutzers und alle geöffneten Ordner sollten nun ausgeblendet werden.Schritt 3: starten eines neuer neuen Explorer.exe über RunAs
In dem geöffneten Task-Manager starten Sie über "Datei" -> "Neuen Task Ausführen" -> RunAs /user:MYDOMAIN\username explorer.exe [Enter drücken] [Passwort des Benutzers eingeben] [Enter drücken]
Das Startmenü sollte jetzt wieder angezeigt werden, und dieser neue Explorer.exe wird sich der neuen Gruppenmitgliedschaft bewusst sein, so dass sie in Ordner gelangen können, die sie zuvor nicht konnten, da die Gruppenmitgliedschaftsinformationen nicht aktualisiert wurden :) Job erledigt! 
Überprüfen der Gruppenmitgliedschaften
Starten Sie ein neues CMD Fenster und führen "WhoAmI /groups".
In beiden Fällen werden Ihnen die jetzt alle Gruppen angezeigt, die der Token des aktuellen Explorer Prozesses enthalten.
Wichtig: Applikationen, die schon vorher gestartet waren, können diesen Token nicht nutzen. Falls Word z.B. die Datei genau in dieses über die Gruppen neu berechtigte Verzeichnis legen abspeichern will, so wird das nicht funktionieren. In dem Fall muss Word neu gestartet werden.Ausführung als CMD
Man kann diese Aktion auch über eine CMD für den Benutzer vereinfachen. Diese CMD einfach auf jeden User Desktop legen.
Für die Remotebenutzer sollte diese CMD auch unmittelbar nach dem Verbindungsaufbau ausgeführt werden. Viele VPN Clients unterstützen genau dies.
taskKill /F /IM explorer.exe
RunAs /user:Domain\%username% explorer.exeHintergrundinfo
RunAs nutzt immer die Windows Logon Funktionalität gegen einen erreichbaren Domänencontroller.
Wenn Sie die neuen Gruppenmitgliedschaften mit einer bestimmten Applikation brauchen, reicht es also auch, dass genau nur diese Applikation mit RunAs über die CMD gestartet wird.
Unter Windows kommt in der Regel mit der Funktion „Als anderer Benutzer ausführen“ oder „Als Administrator Ausführen“ zu dem gewünschten Ergebnis.
