用户系列之一:用户登录后缓存用户信息在哪?如何修改用户登录方式?

各位都知道,用户在一台计算机上登录后,该用户的相关信息会被缓存下来,还有当访问某些Web站点也有缓存相关信息,有关这些,我们如何进行操控呢?本文就来给大家分析这些技术点!

  a. Control userpasswords2 通过这条命令可以管理用户密码,也可更改计算机启动直接进入桌面环境。具体操作不用图示了吧,自己输入这条命令看看就应该解决了吧。呵呵~~

  b. IE访问所所保存的密码的话是:IE–》工具–》internet选项–》删除–》密码

  c. 网上邻居类的密码的话就是:运行–》gpedit.msc–》计算机配置–》WINDOWS设置–》安全设置–》本地策略–》安全选项–》网络访问: 不允许存储网络身份验证的凭据或 .NET Passports(勾选已启用就可以了)

  d. 默认情况下可以缓存10个帐户的登录信息,当然你可以通过改变策略来限制用户在离线的时候登录,缓存存放的位置,它们是存放在注册表中的,具体路径如下:

  HKEY_LOCAL_MACHINESecurity Cache,但是这个键值连管理员默认都没有权限查看,所以请您在Security上右击一下,点权限,然后给管理员“读”权限。之后您就能够在下面看见N1$,N2$,N3$,N4$,N5$,N6$,N7$,N8$,N9$,N10$这些键值,这就是10个缓存的凭证,可以手动删除它们。

  当您登录到 Windows NT,如果域控制器无法验证帐户,会使用缓存登录信息。默认情况下, Windows NT 会记住 10 最近登录尝试。这里所指的10次,是10个用户登陆,而不是一个用户登陆的最大有效次数,一个用户可登陆的次数理论上是无限的。如果要禁止此项设定,您可以把这个值设为0。 具体设置:点击“开始→运行”并输入“gpedit.msc” , “计算机配置→Windows设置→安全设置—本地策略–安全选项中,双击交互式登录:可被缓冲的前次登陆个数(在域控制器不可用的情况下)—缓存10次登录。或在域级别上实现也可以。 也可以通过注册表更改以前登录尝试, 服务器将缓存的数。用于此参数的值有效范围是 0 到 50。 关闭登录缓存值为 0 到 50, 以上任何值将只缓存 50 登录尝试。 警告:“注册表编辑器”使用不当会导致严重的问题,这种问题可能需要重新安装操作系统。 Microsoft 不保证能够解决因为“注册表编辑器”使用不当而产生的问题。 使用注册表编辑器需要您自担风险。

  缓存登录信息由下列项控制:

  HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrent VersionWinlogon

  ValueName: CachedLogonsCount

  Data Type: REG_SZ

  Values: 0 – 50

  对该项进行任何更改需要您重新启动计算机使更改才能生效。

 用户系列之二:域环境下用户登录之缓存故障

场景1:单域有一台DC,如何设置域用户在联系不上DC时不能登录?

  答:打开DC的默认的域的安全策略,安全设置—本地策略—安全选项–“交互式登录:可被缓存的前次登录个数(在域控制器不可用时)”设置值为0(默认是10,最大为50)。

  然后客户端要重新启用计算机方可生效。这样当用户再次登录到域时,如果能联系上DC,登录成功,如果联系不上DC,则无法登录。(因为不再对用户信息进行缓存,如果不进行如上设置,默认状况下客户端要缓存最近10登录的用户信息,此处的详细信息请见本博客另一篇技术文章“用户登录后缓存用户信息在哪?如何修改用户登录方式?

  ** 如果单位用户使用笔记本,最好不要设置为0,否则,该用户脱离域使用笔记本时将无法登录到域(当然可以登录到本地)

  场景2:跨地区的环境下,如总部北京,分支机构上海,当域用户在上海的计算机上登录时,无法登录到域?(多域环境效果明显)

  答:对于跨地区的企业一定要划分站点,否则用户的登录速度会特别慢,(至于原因,以后会找时间写一写)。但当你划分站点后,如果设置不当,反而会出现用户不能登录到域的现象。在这里要做的必须在每个站点布置至少一台域控制器和GC,因为GC要求计算机硬件要好,如果没有条件,也可以在相应的没有GC的站点启用“通用组成员关系缓存”。用于缓存用户的登录信息。如本例在北京站点布置一台GC,在上海可以启用“通用组成员关系缓存”。这样当用户在上海登录时可以把用户信息缓存到上海的DC上,这样即使上海和北京站点失去联系,用户也可以在上海的客户端上登录。而用户信息是从上海的DC上拿的。

用户系列之三:用户登录及访问资源的过程之访问令牌篇

各位都知道,工作组下本地用户登录需要到本地的SAM数据库中做身份验证,而域用户如果在域内的客户机上登录,需要到AD数据库中作身份验证。我在这里仅以域用户为例来说明用户的详细的登录过程。

  如果是你是域用户,在域内的客户机登录,必须选择登录到域,此时你的这台计算机会到DNS服务器上找到该域的DC是谁,由DC负责对用户的身份进行验证,如果验证通过,那么该用户就能正常登录。那么DC除了验证用户的是AD数据库中合法用户,到底还会做什么呢?

  其实,当用户在本地登录到域时,DC验证用户身份通过后,会替用户建立一个访问令牌(Access Token),其中包含着该用户的SID及用户所属所有组的SID(关于通用组的SID,需要联系GC,当然如果该域的域功能级别如果是win2000 mixed,就不检查通用组情况。此外不管用户是否加入过通用组,该DC都将联系GC来检查)。如果DC能成功联系上GC,该用户的访问令牌正常生成,用户也就能顺利登录成功,如果此时联系不上GC,那该用户也就拿不到访问令牌,当然也就无法登录到域,这就是为什么我们会在上篇活动目录系列之五:单域环境的实现(多站点)下–优化 的原因。如下图所示:

< p>

  注意:因此当一个用户登录域后,你才将用户加入到某个组,因为用户的访问令牌中并不包含本组的SID,故有关本组的权限该用户也不会有。比如你创建共享并设置相应的该组的访问权限,其实该用户并不能访问,除非你让该用户重新登录再次生成访问令牌后方可。

  下面讨论一下跨域资源的访问:用户user1属于A域,登录成功后,要访问B域资源。

  用户user1登录A域成功,获得访问令牌,具备了访问该域资源的能力,但如果要访问B域资源,必须有B域的那台共享资源的计算机发送访问令牌。故该用户会依据信任路径,依次找到那台计算机所属域的GC,由那台GC发送给用户“服务票据”,用户拿着该票据,再到那台计算机上获得访问令牌。从而才能访问其共享资源。

  注意:这个过程,User1会通过逐级访问GC,才能找到那个域的。

本文出自 “千山岛主之微软技术空间站” 博客,请务必保留此出处http://jary3000.blog.51cto.com/610705/122727