首次使用域帐户登录后(在我的例子中,Win10 作为客户端,WinServer2016 作为域控制器),将在本地 PC 上创建一个配置文件。这样,即使我没有连接到域控制器,我也可以使用相同的凭据登录。
有时,我认为由于 LAN 连接存在问题,Windows 似乎使用了本地凭据。
有没有办法检查 Windows 是通过“本地登录凭据”登录还是通过域控制器登录?最好是通过事件日志,这样我也可以看到过去的登录,但我接受任何解决方案。谢谢!
答案1
登录后立即运行klist。如果系统能够访问域控制器 (KDC),您将拥有 Kerberos TGT(Server: krbtgt/FOO在列表中标记)和可能多个每个服务的票证。
请注意,如果网络访问稍后恢复,则 Windows 将在需要时自动获取 TGT(只要您的登录密码仍然有效)。因此,如果您正在检查不再新鲜的会话,则 Kerberos TGT 的存在取决于它是否用过的最近用于验证连接并且不会指示有关缓存凭据的任何信息。