Заметки о Windows и других программных продуктах Microsoft...

Вход в систему при недоступности контроллера домена

Вход в систему при недоступности контроллера домена

При входе на компьютер с доменной учетной записью пользователь вводит свои учетные данные, которые передаются на ближайший контроллер домена для проверки подлинности. Если в сетевом окружении отсутствуют доступные контроллеры домена, то учетные данные проверить некому и в систему пользователь войти не сможет.

ошибка при входе в систему при недоступности контроллера домена

 

Чтобы избежать подобной ситуации, после успешного входа в систему учетные данные пользователя сохраняются в кэш на локальном компьютере. Это позволяет войти в систему с доменными учетными данными и получить доступ к ресурсам локального компьютера даже при отсутствии подключения к домену.

Примечание. Если быть точным, то кэшируются не сами учетные данные (логин и пароль), а результат их проверки. Еще точнее система хранит хэш пароля, модифицированный при помощи соли (salt), которая в свою очередь, генерируется на основе имени пользователя. Кэшированные данные хранятся в разделе реестра HKLM\SECURITY\Cache, доступ к которому имеет только система.

За возможность кэширования отвечает параметр реестра CashedLogonsCount, находящийся в разделе HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Этот параметр определяет количество уникальных пользователей, чьи учетные данные сохраняются локально. По умолчанию значение параметра равно 10, что означает следующее: учетные данные сохраняются для последних 10 пользователей, заходивших в систему, а при входе на компьютер одиннадцатого пользователя учетные данные первого пользователя будут перезаписаны.

параметр реестра, определяющий количество закешированных учетных данных

 

Управлять значением CashedLogonsCount можно централизованно, с помощью групповых политик. Для этого необходимо создать новый GPO (или открыть существующий), перейти в раздел Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options и найти параметр Interactive logon: Number of previous logons to cache (in case domain controller is not available).

политика, отвечающая за изменение количества кешированных учетных данных

 

По умолчанию данный параметр не определен (Not Defined), соответственно на всех компьютерах используется дефолтное значение. Для его изменения надо включить параметр и указать необходимое значение в пределах от 0 до 50. Значение, равное 0, означает запрет на кэширование учетных данных, соответственно при этом значении вход в систему при недоступности контроллера домена невозможен.

настройка политики, отвечающей за количество кешированных учетных данных

 

Поскольку теоретически при наличии физического доступа к компьютеру у злоумышленника есть возможность воспользоваться сохраненными учетными данными, то для повышения безопасности рекомендуется отключать локальное кэширование. Исключение могут составить пользователи мобильных устройств (ноутбуков, планшетов и т.п.),  которые пользуются устройствами как на работе, так и вне ее. Для таких пользователей количество кэшированных входов можно задать в пределах 1-2. Этого вполне достаточно для работы.

И в завершение пара важных моментов:

• Для того, чтобы учетные данные были закешированы необходимо, чтобы пользователь хотя-бы раз зашел на компьютер под своей доменной учетной записью при доступном контроллере домена.
• Довольно часто параметр CashedLogonsCount трактуют как количество входов в систему при отсутствии доступа к домену. Это не так, и если учетные данные пользователя закешированы локально, то он сможет заходить в систему неограниченное количество раз.

 
 
Комментарии
Алексей

А какое время жизни этого кэша?

Точной информации не нашел, скорее всего неограниченное.

Спасибо за говёный ответ

Ухахахахах

без срока

FiftyStars

Это верно для всех версий оси? Или какие то последние? Меня сейчас от поднятия доменов в 2ух организациях только это и останавливает. В одной организации 7-ки стоят в другой хрюшки(есть свои причины). Так вот. В обоих случаях описанное в статье работает?

Для всех.

Алексей

с 2022 годом =) Подскажите такой момент. У сотрудника ноут рабочий в домене. По началу он без проблем заходил из дома, но какое то время спустя начал выдавать сообщение «Вы не можете войти в систему с этими учетными данными, так как ваш домен недоступен. Убедитесь, что устройство подключено к сети организации и повторите попытку. Если вы ранее входили в систему на этом устройстве с другими учетными данными, вы можете войти в систему с этими учетными данными». Вход совершался только с одной учетки. Как быть?

Тут либо кэширование запрещено совсем, либо все таки не с одной учетки. Для начала надо смотреть политику, что там за настройки.

У меня ситуация, аналогичная описанной Алексеем. Учётки кэшируются 100%, потому что логинюсь другим юзером на тот комп, перезагружаюсь, выдёргиваю сетевой шнур и пытаюсь войти — другого юзера пускает, а родного — нет. Выводил-вводил комп из домена — без толку. Думал, может с учёткой что. Повторил на другом компе — на него без сети смог войти с обеих учёток.

Leave a Reply to Алексей