《为什么主域控制器关机后,域客户机还能登录到域?》由会员分享,可在线阅读,更多相关《为什么主域控制器关机后,域客户机还能登录到域?(1页珍藏版)》请在金锄头文库上搜索。
1、为什么主域控制器关机后,域客户机还能登录到域?域中只有一个域控制器!当一台域计算机脱离域环境中后,与控制器失去联系,用户登陆到域中使用的缓存信息登 陆。在域控制器不可用的情况下可被缓存的前次登陆个数为。如果超过这个默认的次 数,有可能造成您无法使用缓存登陆。您可以尝试更改这个默认的键值然后重新启动计算 机并且禁用缓存登陆。在 “本地计算机“策略-计算机配置-Windows 设置-安全设置-本地策略-安全选项中, 存在如下设置项:Interactive logon: Number of previous logons to cache (in case domain controller is
2、not available) : 10 logons 这里所指的 10 次,是 10 个用户登陆。而不是一个用户登陆的最大有效次数,一个用户可 登陆的次数理论上是无限的。如果要禁止此项设定,您可以把这个值设为 0。这些信息存在 HKEY_LOCAL_MACHINESECURITYCache 里。其下设定 10 个子键,名称 从 NL$1-NL$10,每当一个帐户登陆此计算机,其 Profile 被创建在 %HOMEDRIVE%Documents and Settings 下,相应的帐户信息和安全性描述被缓存下来, 并在此键值中作出记录。该键值中记录已经登陆帐户的名称及其相关标识。 (注:默认情
3、况下,管理员组对于 HKEY_LOCAL_MACHINESECURITY 子键没有读写权 限,您可以执行 regedt32.exe 或者 regedit.exe 添加对 于该子键的读权限。关于注册表的描述和操作,请参考 Microsoft Windows 注册表说明 )值得注意的是,这里所说的 10 个用户帐户,是指已经在本地登陆过的,也就是已经 cache 到本地了的帐户,而不是任意的帐户。如果没有登陆过帐户,由于在登陆的时候, 需要查询域控制器,那么在交互式登陆下,系统立刻会提示当前域不可用。在加入域的计 算机中,此策略的有效设定,最终取决于域策略的设定。 由于 windows 中此项机制的运作,此键值可以作为入侵检测的项目之一。关于此设定描述,请参考 825805 “Interactive Logon: Number of Previous Logons to Cache“ Help Topic 有趣的是,即便在 Windows 2003 的随机文档中,关于此项的描述也是错误的,或许这个 设定从字面上来理解,太容易让人误解了
