当将计算机添加到 AD 组或从中删除时,通常需要重新启动计算机以反映更改。
或者,可以运行klist -li 0x3e7 purge命令立即清除 kerberos 缓存并强制创建新的票证。
我希望计算机能够更频繁地反映其组成员身份变化。也许每 8 小时一次。我的问题是,定期清除缓存是否安全?或者有更好的方法(例如 GPO 调整)?
我最初想编写一个复杂的 powershell 脚本来检查本地计算机认为其组成员身份是什么,并将其与实时 AD 组成员身份进行比较。如果发现有变化,则触发 kerberos 票证清除。然而,除了这样做,我还考虑过每 8 小时运行一次计划任务来清除缓存。
这样做会不会有问题?会不会打断正在进行的工作或造成意想不到的后果?