Сценарий:
- Пока работает мой DC, я захожу на произвольный компьютер.
- Я останавливаю DC
- Я выхожу из произвольной машины. Давайте откажем это для хорошей меры тоже.
- Когда машина возвращается, я все еще могу войти с моими учетными данными домена, даже если DC не работает
Почему и как?
Есть ли какой-то локальный кеш учетных данных в игре на «произвольной» машине? Мой пароль был как-то хеширован и сохранен на будущее, в случае, если DC взорвется или не работает?
Будет ли работать тот же процесс, если я попытаюсь войти в ящик, в который я никогда не входил раньше, пока не работает DC?
windows
active-directory
domain-controller
Рассел Кристофер
источник
источник
Ответы:
По умолчанию Windows кэширует последних 10-25 пользователей для входа в систему (в зависимости от версии ОС). Это поведение настраивается с помощью объекта групповой политики и обычно полностью отключается в тех случаях, когда безопасность имеет решающее значение.
Если вы попытались войти на рабочую станцию или рядовой сервер, на который вы никогда не входили, когда все ваши контроллеры домена недоступны, вы получите сообщение об ошибке
There are currently no logon servers available to service the logon requestисточник
security is criticalпоскольку это предотвратит нападение грубой силы в автономном режиме. Решение проблемы VPN заключается в подключении при запуске с использованием сертификатов устройства, а не после входа в систему с пользователем / проходом.Да, ваши учетные данные кэшируются на каждом компьютере, на котором вы входите. Если вы не выполнили вход на определенную машину до отключения контроллера домена, вы не сможете войти, потому что ваши учетные данные будут недоступны.
источник
This is done to avoid unnecessary network usage if you log in to a given machine frequently.- это неправда. Если есть DC, доступные для аутентификации входа в систему, они будут делать это независимо от того, кэшированы ли кредиты этого пользователя или нет на локальной рабочей станции или рядовом сервере. Кэшированные учетные данные используются только тогда, когда рабочая станция или рядовой сервер не может связаться с одним или несколькими контроллерами домена для проверки подлинности. Распространенные сценарии, в которых это происходит, включают перенос переносных компьютеров из сети, недоступность контроллеров домена из-за перебоев в работе сети или любых других перерывов в обслуживании.Стоит также отметить, что контроллеры домена DC и клиента периодически синхронизируются как часть операций групповой политики, но только тогда, когда они оба подключены.
Например, вы можете войти на свою рабочую станцию (Алиса) и отключить ее от сети, затем войти на вторую рабочую станцию (Боб) и изменить пароль AD своего логина (через ctrl-alt-del) от Боба. Пароль обновляется мгновенно на Бобе и DC (Чарли), но все еще остается старым значением (кешируется) на Алисе.
Если вы снова подключите Алису к сети, через пару секунд вы, скорее всего, получите всплывающее уведомление на панели задач, говорящее «Windows требует ваши текущие учетные данные». Это результат того, что Алиса и Чарли сделали синхронизацию групповой политики периода. Ввод нового пароля подтвердит вашу регистрацию против Чарли и обновит кэшированные учетные данные Алисы.
источник
It is also worth noting that the DC and client box sync logins periodically as part of group policy operations, but only while they're both online.вздох это не имеет ничего общего с групповой политикой. Как только вам понадобится доступ к сетевому ресурсу и ваши кэшированные учетные данные будут использованы, вам потребуется аутентификация. Здесь нет «синхронизации паролей» или чего-то в этом роде, особенно от GPO. Вы, вероятно, видите это сразу, потому что у вас есть постоянные сопоставления дисков или открытый почтовый ящик Exchange, или что-то подобное, что требует ваших учетных данных почти сразу.