天天看點

域控制器關機後,域客戶機仍能登入到域的原因

當一台域計算機脫離域環境中後,與控制器失去聯系,使用者登陸到域中使用的緩存資訊登陸。在域控制器不可用的情況下可被緩存的前次登陸個數為10。如果超過這個預設的次數,有可能造成您無法使用緩存登陸。您可以嘗試更改這個預設的鍵值然後重新啟動計算機并且禁用緩存登陸。

在  "本地計算機"政策--計算機配置--Windows  設定--安全設定---本地政策--安全選項中存在如下設定項:    Interactive logon: Number of previous logons to cache (in case domain controller is not available):10 logons 這裡所指的10次,是10個使用者登陸。而不是一個使用者登陸的最大有效次數。一個使用者可登陸的次數理論上是無限的。如果要禁止此項設定,您可以把這個值設為0。  

這些資訊存在 HKEY_LOCAL_MACHINE\SECURITY\Cache 裡。其下設定10個子鍵,名稱從 NL$1-NL$10。每當一個帳戶登陸此計算機,其Profile被建立在 %HOMEDRIVE%\Documents and Settings 下,相應的帳戶資訊和安全性描述被緩存下來,并在此鍵值中作出記錄。該鍵值中記錄已經登陸帳戶的名稱及其相關辨別。 

注:預設情況下管理者組對于 HKEY_LOCAL_MACHINE\SECURITY 子鍵沒有讀寫權限。您可以執行 regedt32.exe <windows 2000> 或者 regedit.exe <windowsXP> 添加對于該子鍵的讀權限。關于系統資料庫的描述和操作,請參考 Microsoft Windows 系統資料庫說明。 值得注意的是,這裡所說的 10 個使用者帳戶,是指已經在本地登陸過的,也就是已經 cache 到本地了的帳戶,而不是任意的帳戶。如果沒有登陸過帳戶,由于在登陸的時候需要查詢域控制器,那麼在互動式登陸下系統立刻會提示目前域不可用。在加入域的計算機中,此政策的有效設定最終取決于域政策的設定。 由于windows中此項機制的運作,此鍵值可以作為入侵檢測的項目之一。  關于此設定描述請參考 825805 "Interactive Logon: Number of Previous Logons to Cache" Help Topic 有趣的是,即便在Windows 2003 的随機文檔中,關于此項的描述也是錯誤的,或許這個設定從字面上來了解太容易讓人誤解了。