Чтобы "отключить" учетные данные в другой системе, которая может быть аутентифицирована одним из интерфейсов аутентификации AD, вам необходим либо протокол с защитой от подражания (например, Kerberos), либо сами необработанные учетные данные (иногда их называют "базовыми"). или «имя пользователя / пароль», но при определенных обстоятельствах может также быть чем-то вроде пары ключей RSA) и, необязательно, структурой, в которой можно обернуть эти учетные данные (например, WS-Sec, SAML).
Маркер доступа , сгенерированный LSA Windows, действителен только в системе, в которой был создан токен - если вы сериализовали и десериализовали токен из одной системы в другую, LSA не примет его в качестве доказательства того, что процесс был аутентифицирован этой целевой системой и имел какое-либо право на доступ к любому защищенному ресурсу в системе. В противном случае вы будете говорить о системе, подвергающейся атакам повторного воспроизведения (взятие контекста безопасности из одного блока и его повторное воспроизведение - злонамеренно или иным образом, модели угроз безопасности будет безразлично - в другом).
Таким образом, «самый простой» способ сделать это - заставить свой код ввести имя пользователя и пароль. Это также сценарий, наиболее подверженный недостаткам безопасности, и любая разумная организация захлебнется, если их приложения сделают что-то грубое, но это - теоретический вариант.
Лучше было бы найти способ для межсистемной связи включить встроенную поддержку протокола аутентификации - см. GSS-API для одного кроссплатформенного API, который часто работает в этих контекстах.