Kerberos-Tickets werden i.d.R. nur bei Login eines Benutzers oder bei Ablauf generiert. Wenn schnell ein neues Ticket her muss, kann man das allerdings auch ohne Logout/Login realisieren.

Auf einem Client kann der folgende Befehl genutzt werden, um das aktuelle Kerberos-Ticket des Benutzers zu löschen:

klist purge

Folgender Befehl löscht das Kerberos-Ticket des Computerkontos:

klist -li 0x3e7 purge

Aufgefallen ist mir, dass (abweichend von den Beschreibungen in einschlägigen Foren) selbst bei erneutem runas einer cmd der Inhalt von whoami /groups nicht aktualisiert wird.

Beim Zugriff auf Netzlaufwerke greifen die neuen Berechtigungen allerdings sauber.