Em um ambiente do AD, os servidores que hospedam seus compartilhamentos de arquivos estão, na verdade, aceitando o tíquete Kerberos que foi emitido para sua sessão com todas as suas autorizações quando você foi autenticado no login. Dessa forma, os servidores de arquivos não precisam entrar em contato com o controlador de domínio sempre que acessarem o mesmo. Ela confia no ingresso. O fato de que não parece haver nenhuma imposição de revogação de tickets do Kerberos parece ser inerente à maneira como o Kerberos funciona.
Além disso, este artigo recente escrito sobre isso:
link
Os tickets podem permanecer válidos por 10 horas e a solução alternativa no artigo do MSDN parece impedir apenas o acesso a novos recursos após 20 minutos no mesmo domínio.
No que diz respeito aos usuários de VPN, em um caso de uso normal, embora possa depender da arquitetura da VPN, o tíquete Kerberos seria emitido após a autenticação; portanto, em circunstâncias normais, eles não teriam acesso se não fossem já está conectado ao domínio de alguma forma com um bilhete recentemente (poucas horas) emitido.
Esse segundo link para o artigo do blog may tem um toque de entusiasmo, e eu tenho certeza que vi pessoas perderem o acesso a coisas minutos depois de eu ter desativado elas - - embora o seu bilhete possa estar prestes a expirar de qualquer forma. Isso me incomoda, porque houve algumas vezes que me disseram para desativar o acesso de um usuário a tudo ontem e, em alguns ambientes, isso é crítico.