服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 即使AD域控制器closures,为什么我可以login到一个盒子?
Intereting Posts
如何configurationApache来处理OPTIONS请求而不调用脚本 Apache httpd接收请求并响应但不logging活动 在Amazon VPC的Ubuntu 14.04机器上永久设置MTU docker集装箱系统单元集成 Linux扩展集群:MD复制,DRBD还是Veritas? 强制outlook将所有附件作为谷歌驱动器,s3或一个驱动器链接发送 Nginx反向代理Gzip到客户端 获取远程服务器上的所有DNSlogging? 发生系统错误1219 ActiveX中的MDT Windows 7应用程序安装错误 告知连接的设备此networking不提供互联网访问 “X_FORWARDED_FOR”标题不存在于请求中 当我注销远程桌面连接到服务器时,计划任务停止工作 为什么nssm.exe导致高WmiPrvSE.exe CPU使用率? EC2 – 如何通过单个公共IP路由出站stream量

即使AD域控制器closures,为什么我可以login到一个盒子?

场景:

  • 当我的DC正在运行时,我login到任意一台机器。
  • 我停止了DC
  • 我注销任意机器。 让我们也反弹一下吧。
  • 当机器恢复时,即使DCclosures,我仍然可以使用我的域名凭证login

为什么和如何?

在“任意”机器上是否有某种本地凭据caching? 我的密码在某些情况下被散列并存储在案例中,DC爆炸或停机?

如果我试图login到一个我以前从未login过的DC,同一过程是否会工作?

默认情况下,Windows将caching最后10-25个用户login到一台机器 (取决于操作系统版本)。 此行为可通过GPO进行configuration,并且在安全性至关重要的情况下通常会完全closures。

如果您尝试login到所有DC无法访问时从未login过的工作站或成员服务器,则会收到错误消息,指出There are currently no logon servers available to service the logon request

是的,您的凭据caching在您login的每台计算机上。 如果您在DCclosures之前没有login到给定的计算机,则无法login,因为您的凭证不可用。

还值得注意的是,DC和客户端机箱同步作为组策略操作的一部分进行定期login,但仅在它们在线时才进行login。

例如,您可以login到您的工作站(Alice)并从networking上断开连接,然后login到第二个工作站(Bob)并从Bob更改login名的AD密码(通过ctrl-alt-del)。 密码在Bob和DC(Charlie)上立即更新,但仍然是Alice上的旧值(caching)。

如果您将Alice重新连接到networking,稍等片刻,您可能会收到一个任务栏泡泡通知,指出“Windows需要您当前的凭据”。 这是Alice和Charlie在周期性组策略同步的结果。 input您的新密码将validation您对查理的条目,并更新Alice上的caching凭据。