域账号如果登陆到客户端,Windows 在本地缓存以前用户的登录信息,以便在以后的登录尝试期间登录服务器不可用时,可以继续登陆,这是设计使然,
缓存域登录信息- Windows Server |微软文档(microsoft.com)
若被禁用的用户在断开网络的计算机上登陆后,在锁屏连接网络来联系域控,此时Active Directory 将管理Active Directory 域中的域帐户,账户是无法登陆的,若再次断开网络,客户端无法进行联系域控进行验证,此时是属于本地登陆还是会读取本地的账户信息进行登陆,本地的SAM数据库存储账户的用户名以及哈希,在进行本地登陆时无法联系域控获取账户权限信息,而在联系域控进行登陆的时候,一般我们会使用Kerberos进行认证:
- Kerberos 客户端请求,然后从KDC 接收TGT。
- Kerberos 客户端使用TGT 请求,然后从KDC 接收本地工作站的服务票证。
- 网络资源的服务票证将使用系统或服务密钥进行加密,具体取决于资源是系统还是服务。工作站具有在计算机加入域时创建的系统密钥。工作站的服务票证使用此密钥加密。
- 本地 LSA 从服务票证中包含的凭据生成访问令牌,然后授予或拒绝用户访问。
所以域账户的账户信息需要联系域控获取。Kerberos 版本5 身份验证协议的工作原理:登录和身份验证|微软文档(microsoft.com)
若需要让登陆过客户端的被禁用的账户进行本地登陆可以使用下述方法:
1、在域控上打开组策略编辑器,新建或在原有组策略上编辑(因为该策略是计算机策略,把该策略链接到包含需要应用的计算机的OU中),示例是在中在默认域控策略中编辑的,组策略路径为计算机配置>策略编辑>Windows设置>安全设置>本地策略>安全选项;
2、选择“定义这些策略设置“,将”不要缓存登录次数“设置为0;(在该策略设置中,0 值表示禁用登录缓存。)
3、设置好后点击应用然后点击确定,等组策略后台刷新,或者去客户端用域成员账号登录并以管理员身份打开power shell输入以下命令gpupdate/force 强制更新组策略,然后每次用户登录到域时,Windows 不会缓存提供的凭据,断网后域成员登录到域控将联系不到域控无法进行正常登录。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
