Em um ambiente AD, os servidores que hospedam seus compartilhamentos de arquivos estão, na verdade, aceitando o tíquete Kerberos que foi emitido para sua sessão com todas as suas autorizações quando você foi autenticado no login. Dessa forma, os servidores de arquivos não precisam entrar em contato com o controlador de domínio sempre que acessarem o mesmo. Ela confia no ingresso. O fato de que não parece haver nenhuma imposição de revogação de tickets do Kerberos parece ser inerente à maneira como o Kerberos funciona.
http://msdn.microsoft.com/pt-br/library/cc233947.aspx
Além disso, este artigo recente escrito sobre isso:
http://www.aorato.com/blog/windows-authentication-flaw-allows-deleteddisabled-accounts-access-corporate-data/
Os tíquetes podem permanecer válidos por 10 horas e a solução alternativa no artigo do MSDN parece apenas impedir o acesso a Novo recursos após 20 minutos no mesmo domínio.
No que diz respeito aos usuários de VPN, em um caso de uso normal, embora possa depender da arquitetura da VPN, o tíquete do Kerberos seria emitido durante a autenticação, portanto, em circunstâncias normais, eles não teriam acesso se já não estivessem conectado ao domínio de alguma forma com um bilhete recentemente (poucas horas) emitido.
Esse segundo link para o artigo do blog maio tenho uma sugestão de hype para isto, e eu estou bastante seguro eu tenho visto as pessoas perderem acesso a coisas minutos depois que eu os incapacitei. embora o ingresso deles / delas pudesse ter estado a ponto de expirar de qualquer maneira. Isso me incomoda, porque houve algumas vezes que me disseram para desativar o acesso de um usuário a tudo ontem e, em alguns ambientes, isso é crítico.