在做内网环境测试的时候发现,即使域控制机已经关闭,偶尔也会发生域客户机能登陆的情况
原因分析如下
当一台域计算机脱离域环境中后,与控制器失去联系,用户登陆到域中使用的缓存信息登陆。在域控制器不可用的情况下可被缓存的前次登陆个数为10。如果超过这个默认的次数,有可能造成您无法使用缓存登陆。您可以尝试更改这个默认的键值然后重新启动计算机并且禁用缓存登陆。
在 "本地计算机"策略--计算机配置--Windows 设置--安全设置---本地策略--安全选项中存在如下设置项: Interactive logon: Number of previous logons to cache (in case domain controller is not available):10 logons 这里所指的10次,是10个用户登陆。而不是一个用户登陆的最大有效次数。一个用户可登陆的次数理论上是无限的。如果要禁止此项设定,您可以把这个值设为0。
这些信息存在 HKEY_LOCAL_MACHINE\SECURITY\Cache 里。其下设定10个子键,名称从 NL$1-NL$10。每当一个帐户登陆此计算机,其Profile被创建在 %HOMEDRIVE%\Documents and Settings 下,相应的帐户信息和安全性描述被缓存下来,并在此键值中作出记录。该键值中记录已经登陆帐户的名称及其相关标识。
注:默认情况下管理员组对于 HKEY_LOCAL_MACHINE\SECURITY 子键没有读写权限。您可以执行 regedt32.exe