На входа на компютър с потребителското домейн сметка влиза техните пълномощия, които са изпратени до най-близкото домейн контролера за удостоверяване. Ако мрежата на околната среда, няма налични домейн контролери, а след това няма кой да провери пълномощията и влезете в системата, потребителят няма да може.
За да се избегне тази ситуация, след като успешно влизане пълномощията на потребителите се съхраняват в кеша на локалния компютър. Това ви позволява да влезете с идентификационните данни на домейни и да получат достъп до местни ресурси на компютъра, дори когато не сте свързани към домейна.
Забележка. За да бъдем точни, не кешираните документите (като потребителско име и парола) и техните резултати от изпитване. По-точно, системата съхранява хеша на паролата променен от сол (сол), което от своя страна се генерира на базата на потребителското име. Кешираното Данните се съхраняват в ключа на системния регистър HKLM \ СИГУРНОСТ \ Cache, достъпът до който е само на една система.
За възможността да отговорят опция кеширане CashedLogonsCount регистър. намира под HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon. Този параметър определя броя на уникалните потребители, чиито идентификационни данни се съхраняват локално. Стойността по подразбиране е 10, което означава, че идентификационните данни се съхраняват в продължение на последните 10 потребителите да влезете в системата, и на входа на единадесетото компютър потребителски идентификационни данни на първия потребител ще бъдат презаписани.
Управление CashedLogonsCount стойност може да бъде централизирано използване на групови правила. За да направите това, да създадете нов GPO (или отваряне на съществуващ такъв), преместете се Компютърна конфигурация \ Policies \ Настройки на Windows \ Настройки за сигурност \ Local Policies \ опции за сигурност и да намерят залязващото Interactive за вписване: Брой на предишни logons до кеш (в случай домейн контролер не е налична).
Тъй като теоретично, когато имате физически достъп до компютъра, нападателя има възможност да използвате записаните идентификационни данни, се препоръчва да деактивирате местно кеширане за подобряване на безопасността. Изключване може да направи потребителите на мобилни устройства (лаптопи, таблети и т.н.), които са устройства, както на работното място, така и извън него. За тези потребители, можете да зададете броя на кеширани записи от порядъка на 1-2. Това е напълно достатъчно за тази работа.
И в крайна сметка няколко важни точки:
• За да се гарантира, че пълномощията кеширане, потребителят трябва, най-малко веднъж отидох на един компютър под домейн на сметката му с домейн контролери на разположение.
• Доста често определяне CashedLogonsCount тълкува като броя на входовете при липса на достъп до домейна. Това не е така, и ако пълномощията на потребителя се кешира на местно ниво, той ще бъде в състояние да участва с неограничен брой пъти на системата.
Свързани статии