В среде AD серверы, на которых размещаются ваши общие файловые ресурсы, фактически принимают билет Kerberos, выданный для вашего сеанса со всеми его авторизациями, когда вы проходили аутентификацию при входе в систему. Таким образом, файловые серверы не должны каждый раз связываться с контроллером домена для доступа к нему. Это доверяет билет. Тот факт, что, по-видимому, нет никакого принуждения к отзыву билетов Kerberos, по-видимому, присущ принципу работы Kerberos.
http://msdn.microsoft.com/en-us/library/cc233947.aspx
Также в этой недавней статье написано об этом:
http://www.aorato.com/blog/windows-authentication-flaw-allows-deleteddisabled-accounts-access-corporate-data/
Билеты могут оставаться действительными в течение 10 часов, а обходной путь в статье MSDN, по-видимому, препятствует доступу к новым ресурсам только через 20 минут в том же домене.
Что касается пользователей VPN, то в обычном случае использования, хотя это может зависеть от вашей архитектуры VPN, билет Kerberos будет выдан при аутентификации, поэтому в нормальных условиях им не будет разрешен доступ, если он еще не был каким-либо образом подключен к домену с помощью недавно (несколько часов) оформленного билета.
Эта вторая ссылка на статью в блоге может быть намеком на это, и я почти уверен, что видел, как люди теряли доступ к вещам через несколько минут после того, как я их отключил - хотя срок действия их билета мог истечь. тем не мение. Это действительно беспокоит меня, потому что было несколько раз, когда мне говорили отключить доступ пользователя ко всему вчера, а в некоторых средах это критично.
