场景:
为什么以及如何?
在“任意”计算机上是否正在运行某种本地凭证缓存?我的密码以某种方式散列并存储在将来的情况下,以防DC爆炸或崩溃?
如果我尝试登录到DC断开之前从未登录过的机器,是否可以执行相同的过程?
Answers:
默认情况下,Windows将缓存最后10-25个用户以登录到计算机(取决于操作系统版本)。此行为可以通过GPO进行配置,通常在安全性至关重要的情况下完全关闭。
如果在所有DC都无法访问的情况下尝试登录从未登录过的工作站或成员服务器,则会收到一条错误消息,指出 There are currently no logon servers available to service the logon request
security is critical因为它可以防止离线暴力攻击。VPN问题的解决方案是在启动时使用设备证书进行连接,而不是使用用户/密码登录后。
是的,您的凭据将缓存在您登录的每台计算机上。如果您在DC出现故障之前尚未登录到给定的计算机,则将无法登录,因为您的凭据将不可用。
This is done to avoid unnecessary network usage if you log in to a given machine frequently.- 这不是真的。如果有可用的DC对登录进行身份验证,则无论该用户的凭据是否缓存在本地工作站或成员服务器上,它们都将保留。仅当工作站或成员服务器无法联系一个或多个域控制器进行身份验证时才使用缓存的凭据。发生这种情况的常见情况包括笔记本电脑脱网,由于网络中断或其他服务中断而导致DC无法访问。
还值得注意的是,DC和客户端框会在组策略操作中定期同步登录,但仅在它们都在线时同步。
例如,您可能登录到工作站(Alice)并将其与网络断开连接,然后登录到第二个工作站(Bob),并从Bob更改登录名的AD密码(通过ctrl-alt-del)。密码在Bob和DC(Charlie)上立即更新,但仍然是Alice上的旧值(已缓存)。
如果您将Alice重新连接到网络,则一两分钟后,您可能会收到任务栏气泡通知,提示“ Windows需要您的当前凭据”。这是Alice和Charlie执行期间组策略同步的结果。输入新密码将针对Charlie验证您的输入并更新Alice上的缓存凭据。
It is also worth noting that the DC and client box sync logins periodically as part of group policy operations, but only while they're both online. 叹息这与组策略无关。一旦您需要访问网络资源并且使用了缓存的凭据,它将要求您进行身份验证。没有“密码同步”或类似的东西,尤其是不是来自GPO的东西。您可能会立即看到此消息,因为您有持久的驱动器映射或Exchange邮箱处于打开状态,或者类似的情况几乎需要您的凭据。