在做內網環境測試的時候發現,即使域控制機已經關閉,偶爾也會發生域客戶機能登陸的情況
原因分析如下
當一台域計算機脫離域環境中后,與控制器失去聯系,用戶登陸到域中使用的緩存信息登陸。在域控制器不可用的情況下可被緩存的前次登陸個數為10。如果超過這個默認的次數,有可能造成您無法使用緩存登陸。您可以嘗試更改這個默認的鍵值然后重新啟動計算機並且禁用緩存登陸。
在 "本地計算機"策略--計算機配置--Windows 設置--安全設置---本地策略--安全選項中存在如下設置項: Interactive logon: Number of previous logons to cache (in case domain controller is not available):10 logons 這里所指的10次,是10個用戶登陸。而不是一個用戶登陸的最大有效次數。一個用戶可登陸的次數理論上是無限的。如果要禁止此項設定,您可以把這個值設為0。
這些信息存在 HKEY_LOCAL_MACHINE\SECURITY\Cache 里。其下設定10個子鍵,名稱從 NL$1-NL$10。每當一個帳戶登陸此計算機,其Profile被創建在 %HOMEDRIVE%\Documents and Settings 下,相應的帳戶信息和安全性描述被緩存下來,並在此鍵值中作出記錄。該鍵值中記錄已經登陸帳戶的名稱及其相關標識。
注:默認情況下管理員組對於 HKEY_LOCAL_MACHINE\SECURITY 子鍵沒有讀寫權限。您可以執行 regedt32.exe <windows 2000> 或者 regedit.exe <windowsXP> 添加對於該子鍵的讀權限。關於注冊表的描述和操作,請參考 Microsoft Windows 注冊表說明。 值得注意的是,這里所說的 10 個用戶帳戶,是指已經在本地登陸過的,也就是已經 cache 到本地了的帳戶,而不是任意的帳戶。如果沒有登陸過帳戶,由於在登陸的時候需要查詢域控制器,那么在交互式登陸下系統立刻會提示當前域不可用。在加入域的計算機中,此策略的有效設定最終取決於域策略的設定。 由於windows中此項機制的運作,此鍵值可以作為入侵檢測的項目之一。 關於此設定描述請參考 825805 "Interactive Logon: Number of Previous Logons to Cache" Help Topic 有趣的是,即便在Windows 2003 的隨機文檔中,關於此項的描述也是錯誤的,或許這個設定從字面上來理解太容易讓人誤解了。