当域用户成功login到域join的计算机时,用户的域凭据将被caching,以便用户可以在域控制器不可用的情况下再次login(例如,计算机与networking断开连接)。
如果join域的计算机作为域服务帐户运行Windows服务,并且计算机重新启动,如果没有可用的域控制器,服务是否会启动?
其次,如果上述服务试图authentication并与第二地方服务机构沟通,它会成功吗?
我90%确定caching凭据只适用于交互式login。
它仅用于交互式login。 请参阅MS KB 。
caching的凭据也适用于服务。
源: https : //technet.microsoft.com/en-us/library/hh994565(v=ws.10).aspx
根据https://technet.microsoft.com/en-us/library/hh994565(v=ws.10).aspx它只适用于“计算机上configuration的Windows服务的帐户密码”。 不是所有的应用程序。
LSA秘密在硬盘上
本地安全机构(LSA)秘密是一个秘密的数据,只有SYSTEM帐户进程才能访问。 其中一些秘密是重新启动后必须保留的凭证,并以encryptionforms存储在硬盘驱动器上。 存储为LSA机密的证书可能包括:
Account password for the computer's AD DS account Account passwords for Windows services that are configured on the computer Account passwords for configured scheduled tasks Account passwords for IIS application pools and websites