域控制器不可用的情况下使用域账户登录客户机


最近在上活动目录的课程,我们都知道在使用域账户从客户机登录的使用是需要联系域控制器进行身份的验证的,有同学做过这样的实验,他把自己的域控制器全部暂停了(虚拟机),结果发现还能够使用域账户登录,感觉比较奇怪,也不清楚为什么,今天就来讲讲这个问题,声明一下,下面的内容绝大多数翻译至微软的教材。


域控制器全部离线或者不能访问,而还能够使用域账户登录到客户机,其实这是有前提的,前提条件就是在域控制器还能正常访问的时候,你用这个域账户在这台客户机上登录过,换句话说,如果你在域控制不可访问的情况下,使用一个从来没有在这台客户机上登录过的某个域账户登录的话,登录是不成功的,这时你会看到如下的对话框提示:


而之前登录过的域账户是可以登录的,因为操作系统默认会缓存 10 次域账户的登录信息在注册表中,当你的域控制器不能访问的时候,客户机就利用注册表中的缓存信息来验证身份,允许你登录,但注意,这个时候你仅能访问本机的资源。


用户的登录信息会被存在注册表中,具体位置是: HKEY_LOCAL_MACHINE/Security/Cache ,(需要使用域管理员组或者本地管理员组的账户登录),这个路径默认你是看不到的,因为管理员也没有权限查看,需要更改注册表的权限,在 security 上点右键 --- 权限,如下图:


administrators 完全控制权限,然后关闭注册表编辑器,再次打开它,如图:


这里存放的就是登录信息,包括密码,也许你想到了破解这个密码,但是几乎不可能,因为这里存放的值是用你的密码做了两次哈希算法之后的值。


客户机会缓存域账户的登录凭据,并且默认是 10 次,这个实际上是在客户机的本地的组策略中定义的,在客户机上打开组策略编辑器,依次展开“计算机配置” --- Windows 设置” --- “安全设置” ---- “本地策略” --- “安全选项”,找到名为“交互式登录 : 之前登录到缓存的次数 ( 域控制器不可用时 ) ”的项,默认是 10 次,如下图所示:

 

最大值可以设为 50 次,设为 0 即代表取消域账户登录凭据缓存这个功能(更改后需要重启),但是注意,一旦设为 0 之后,如果在没有任何 DC 在线的情况下,是无法使用域账户登录了,建议在笔记本上不要设为 0 。也可以修改注册表来实现,对应的注册表位置:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon ,在这个位置下的一个名为 CachedLogonsCount 的键。

 

 

阅读更多
个人分类: Windows
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

关闭
关闭
关闭