设想:
- 当我的 DC 运行时,我登录到任意机器。
- 我停止了DC
- 我注销了任意机器。为了保险起见,我们也要重启它。
- 当机器重新启动时,即使 DC 已关闭,我仍然可以使用我的域凭据登录
为何以及如何?
“任意”机器上是否存在某种本地凭证缓存?我的密码以某种方式被散列并存储起来,以防万一 DC 崩溃或关闭?
如果我在 DC 关闭时尝试登录到以前从未登录过的框,相同的过程是否会有效?
答案1
默认情况下,Windows 将缓存最后 10-25 个登录机器的用户(取决于操作系统版本)。此行为可通过 GPO 配置在安全至关重要的情况下,通常会完全关闭。
如果您尝试登录从未登录过的工作站或成员服务器,而您的所有 DC 都无法访问,则会收到一条错误消息There are currently no logon servers available to service the logon request
答案2
是的,您的凭据会缓存在您登录的每台计算机上。如果您在 DC 发生故障之前没有登录到给定的计算机,您将无法登录,因为您的凭据将不可用。
答案3
还值得注意的是,作为组策略操作的一部分,DC 和客户端会定期同步登录,但前提是它们都在线。
例如,您可以登录到您的工作站 (Alice) 并将其与网络断开连接,然后登录到第二个工作站 (Bob) 并从 Bob 更改您的登录 AD 密码 (通过 ctrl-alt-del)。Bob 和 DC (Charlie) 上的密码会立即更新,但 Alice 上的密码仍然是旧值 (缓存的)。
如果您将 Alice 重新连接到网络,片刻之后,您可能会收到一个任务栏气泡通知,提示“Windows 需要您当前的凭据”。这是 Alice 和 Charlie 执行周期组策略同步的结果。输入您的新密码将验证您输入的 Charlie 密码,并更新 Alice 上的缓存凭据。