Тема: Скрипт по массовой чистке Kerberos тикета и обновлению групповой политики Если у вас есть домен на базе Active Directory, то вы сто процентов часто делаете групповые политики, нацеленные на пользователей и объекты компьютеров. Для некоторых ситуаций в GPO используется фильтрация по группам безопасности, чтобы нацеливать ее исключительно на определенные списки. Когда вы добавляете объект компьютера в группу безопасности, это меняет его тикет Kerberos, выдаваемый контроллером домена на 8 часов. И теперь вся боль, как бы вы не удаляли/добавляли объект компьютера в группы, тикет не обновиться и тем самым и политика (не применится или наоборот пропадет). В таких случаях есть утилита командной строки позволяющая его принудительно почистить, ниже я приведу пример, когда мне нужно было это сделать на ряде серверов RDS фермы. Задача скрипта взять список серверов, на каждом очистить тикет Kerberos и обновить групповую политику принудительно. Думаю вы теперь сможете более точечно и осознано применять политику, понимать почему она может не применяться на группу участников. # Шаг 1: Взять список имен компьютеров из файла и поместить их в переменную $computers = Get-Content -Path "C:\Temp\RDS\servers-term.txt" # Шаг 2: Выполнить команду klist –li 0x3e7 purge на каждом компьютере foreach ($computer in $computers) { Invoke-Command -ComputerName $computer -ScriptBlock { klist –li 0x3e7 purge } } # Шаг 3: Выполнить gpupdate /force на каждом компьютере foreach ($computer in $computers) { Invoke-Command -ComputerName $computer -ScriptBlock { gpupdate /force } } Еще больше скриптов ищите на сайте - https://pyatilistnik.org/ #ActiveDirectory #Kerberos #Security