AD(域)中的机器默认会缓存域用户凭据,我喜欢这种行为,不仅仅是因为它在笔记本电脑的情况下特别有用。要缓存的最后登录次数可以通过 GPO 轻松更改。
但是,事情是这样的。我正在寻找一种方法来禁止将域管理员的密码缓存在网络中的任何计算机上。我想要这个的原因是恶意软件 - 我们不想因为一台受感染的机器而让整个域受到威胁,对吧?!
问题 1:
如何正确在 GPO 中仅为域管理员用户禁用凭据缓存(并允许普通“经过身份验证的用户”启用它)?
我相信应该通过以下方式Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options GPO container\Interactive logon: Number of previous logons to cache (in case domain controller is not available)实现0
但是我还没有弄清楚如何仅将其成功应用于域管理员:(
--
问题2:
另外...我知道我需要在“默认域策略” GPO 分支中设置密码/凭据策略才能真正允许它们被激活/执行?但是...这是唯一的例外吗?哪些策略有这个例外?是整个“安全设置”分支吗?还是只是它的一些子分支?还是别的什么?它在组策略管理控制台中是如何指示的?
使用 Windows Server 2012R2
答案1
如果您的域的功能级别为 Windows Server 2012 R2 或更高版本,并且您的客户端计算机是 Windows 8.1 或更高版本,则可以通过将选定用户添加到受保护的用户团体。
对 Windows Server 2012 R2 域进行身份验证的受保护用户组的成员无法再使用以下方式进行身份验证:
- ...
- 离线登录。登录时不会创建缓存验证程序。
警告!在完成更改测试之前,请确保并非所有特权帐户都成为受保护用户的成员。在某些情况下,您可能会将自己锁定在外(进一步阅读)。
回答您的第二个问题:必须应用于域控制器的策略是影响帐户数据库和身份验证的策略。例如,必须在域控制器上强制执行密码策略,因为单个工作站管理域帐户的凭据是没有意义的。服务器故障答案Twisty 在评论中链接的内容很有帮助。