С MIT Kerberos утилита kadmin поддерживает создание принципалов с явным максимальным временем жизни билета и временем продления. (аргументы -maxlife и -maxrenewlife для add_principal) который может отличаться от срока действия билета по умолчанию и срока продления по умолчанию. Таким образом, если время жизни вашей области по умолчанию составляет 24 часа, а время продления - 7 дней, данный принципал может составлять 1 час и 1 день соответственно.
Я пытаюсь выяснить, поддерживает ли реализация Kerberos в Active Directory то же самое. Мое чутье говорит «нет», но мне трудно окончательно это доказать, кроме того, что я не могу найти какие-либо очевидные атрибуты в учетной записи, которые могли бы задействовать эту способность.
Может ли кто-нибудь подтвердить или опровергнуть мой интуитивный ответ?
На мой взгляд, нет. Это похоже на политику паролей - она определяется на уровне домена.
http://technet.microsoft.com/en-us/library/cc757692(v=ws.10).aspx#w2k3tr_sepol_accou_set_hpjo
Параметры политики в разделе «Политики учетной записи» реализуются на уровне домена.
Для этого нельзя использовать детальные политики паролей, потому что они не включают настройки Kerberos.
http://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx
PSO имеет атрибуты для всех параметров, которые могут быть определены в политике домена по умолчанию (кроме параметров Kerberos).
Извините, но вам не повезло.