定期清除 Kerberos 票证缓存是否安全?

定期清除 Kerberos 票证缓存是否安全?

当将计算机添加到 AD 组或从中删除时,通常需要重新启动计算机以反映更改。

或者,可以运行klist -li 0x3e7 purge命令立即清除 kerberos 缓存并强制创建新的票证。

我希望计算机能够更频繁地反映其组成员身份变化。也许每 8 小时一次。我的问题是,定期清除缓存是否安全?或者有更好的方法(例如 GPO 调整)?

我最初想编写一个复杂的 powershell 脚本来检查本地计算机认为其组成员身份是什么,并将其与实时 AD 组成员身份进行比较。如果发现有变化,则触发 kerberos 票证清除。然而,除了这样做,我还考虑过每 8 小时运行一次计划任务来清除缓存。

这样做会不会有问题?会不会打断正在进行的工作或造成意想不到的后果?

相关内容