是否可以将缓存的登录凭据存储在终端服务器上,以便在域控制器无法访问时允许用户登录?
如果可以的话,可以设置一个时间限制吗?例如,X 天后需要进行 DC 身份验证。
终端服务器:Windows Server 2008 R2 Std
答案1
Windows 已经存储了用户登录计算机时的“密码验证器”,通常称为“缓存凭据”。默认情况下,它将存储大约 10 个,这意味着第 11 个登录的用户将覆盖第一个登录用户的缓存凭据,依此类推。此数字可以通过组策略或本地策略轻松更改。(0 - 50。)
http://technet.microsoft.com/en-us/library/jj852209.aspx
Windows 中的缓存凭据实际上更像是“密码验证器”或“身份验证器”,因为它们实际上是“哈希的哈希”,而不是用户的实际密码本身,甚至不是它的直接哈希。您无法在传递哈希类型的场景中将这些“缓存凭据”传递给另一个服务……尽管认为存在这种情况是天真的不存储这些凭证验证器完全没有风险。
如果可以的话,可以设置一个时间限制吗?例如,X 天后需要进行 DC 身份验证。
不,这不是 Windows 本身会做的事情。不过我想,如果你足够专注,你可以编写一个应用程序或脚本来清除超过一定天数的缓存凭据。