域控制器在域中只有一个,为什么主域控制器关机后,域客户机还能登录到域呢?下文给出详细解释。
当一台域计算机脱离域环境中后,与控制器失去联系,用户登陆到域中使用的缓存信息登陆。在域控制器不可用的情况下可被缓存的前次登陆个数为10。如果超过这个默认的次数,有可能造成用户无法使用缓存登陆。可以尝试更改这个默认的键值然后重新启动计算机并且禁用缓存登陆。那么我们如何去修改这个默认的键值呢?
在
这里所指的10次,是10个用户登陆。而不是一个用户登陆的最大有效次数,一个用户可登陆的次数理论上是无限的。如果要禁止此项设定,您可以把这个值设为0。
这些信息存在 HKEY_LOCAL_MACHINE\SECURITY\Cache 里。其下设定10个子键,名称从 NL$1-NL$10,每当一个帐户登陆此计算机,其Profile被创建在 %HOMEDRIVE%\Documents and Settings 下,相应的帐户信息和安全性描述被缓存下来,并在此键值中作出记录。该键值中记录已经登陆帐户的名称及其相关标识。
(注:默认情况下,管理员组对于 HKEY_LOCAL_MACHINE\SECURITY 子键没有读写权限,您可以执行 regedt32.exe <windows 2000> 或者 regedit.exe <windowsXP> 添加对于该子键的读权限。关于注册表的描述和操作,请参考 Microsoft Windows 注册表说明 )
值得注意的是,这里所说的 10 个用户帐户,是指已经在本地登陆过的,也就是已经 cache 到本地了的帐户,而不是任意的帐户。如果没有登陆过帐户,由于在登陆的时候,需要查询域控制器,那么在交互式登陆下,系统立刻会提示当前域不可用。在加入域的计算机中,此策略的有效设定,最终取决于域策略的设定。
由于windows中此项机制的运作,此键值可以作为入侵检测的项目之一。
关于此设定描述,可以参考 825805 "Interactive Logon: Number of Previous Logons to Cache" Help Topic
有趣的是,即便在Windows 2003 的随机文档中,关于此项的描述也是错误的,或许这个设定从字面上来理解,太容易让人误解了
主域控制器关机后,域客户机还能登录到域的原因上文已给出详细的解释,希望本文能够对读者有所帮助。
【编辑推荐】