Ten artykuł mówi tylko, że KILE nie weryfikuje cyklicznie ticketa TGT (więc nie zauważy wyłączenia konta użytkownika) jeśli 'session ticket request' dotyczy innej zaufanej domeny.
Nie ma tu mowy o narzędziach dla admina do wymuszenia wygaśnięcia ticketa. Z artykułu wynika, że disable konta użytkownika zadziała w czasie do 10 godzin (to domyślna wartość życia ticketa TGT) i dopiero przy próbie jego przedłużenia KDC zauważy, że konto jest wyłączone i nie przedłuży jego ważności.

Ale znalazłem info, że polecenie klist ma opcję  tgt purge.

Pozostaje kwestia:

1. Jak wybrać właściwy ticket?
2. Na jakiej maszynie wykonać polecenie (lokalna czy może DC)? (LSASS przechowuje poświadczenia użytkownika na komputerze z którego się logował).
3. Aby w pełni odświeżyć uprawnienia usera to pewnie trzeba by jeszcze wyczyścić wszystkie klucze sesji?

No i druga kwestia - jak "odświeżyć" TGT komputera bez restartu (po zmianie jego członkostw w grupach)?

Nie wspomniałem o klist purge ponieważ nie spełniał założeń - według nich mamy to wykonać bez wylogowywania użytkownika.

@3 - Tak. Zdaje się, że użycie purge nie usunie tokenu, którym np. posługuje się uruchomiony proces explorer.exe, w tym celu po użyciu purge należałoby go zrestartować aby zaaplikować zmiany - co według mnie jest w zasadzie równoważne wymuszeniu przelogowania użytkownika.

@2: AFAIK klist wyczyści token jedynie z poziomu lokalnej maszyny.

Ciągle nie mam jasności.

• Aby wyczyścić TGT użytkownika muszę klist tgt purge wywołać na jego maszynie? I to już całkowicie wystarczy?
• Explorer.exe mimo usunięcia ticketu będzie go gdzieś przechowywał i używał? Chyba raczej będzie używał klucza sesji? Np do jakiegoś share'a. Więc można na serwerze pozamykać użytkownikowi sesje (np CIFS'owe), a sam użytkownik nie musi się przelogować.
• A co jeśli użytkownik ma otwarte sesje RDP?
  Czy wtedy na tamtych maszynach też ma zbuforowany TGT?

Po usunięciu TGT nowe klucze sesji będą tworzone na postawie nowego ticketu z aktualną listą SID i o to mi chodzi.