将计算机对象添加到 AD 组时,组成员资格在什么时候生效?是否有某种 Kerberos 刷新间隔(类似于组策略刷新)?
我知道当计算机重新启动时它肯定会变为活动状态,而且我也知道这个klist -lh 0 -li 0x3e7 purge技巧。
答案1
当且仅当创建新的访问令牌时。当 TGT 在 10 小时刷新时不会发生这种情况。当票证在 7 天后过期时也不会自动发生这种情况。您必须实际获得一个全新的。这就是为什么您必须重新启动或者使用 klist 技巧。
更改的计算机组成员身份在什么时候变为有效?