ADドメインコントローラーがダウンしている場合でも、なぜボックスにログインできますか?
シナリオ:
- DCの実行中に、任意のマシンにログインします。
- DCを停止します
- 任意のマシンからログオフします。十分にバウンスしましょう。
- マシンが復旧すると、DCがダウンしている場合でも、ドメイン資格情報でログインできます
なぜ、どうやって?
「任意の」マシンで何らかのローカル資格キャッシュが使用されていますか?私のパスワードは何らかの方法でハッシュされ、将来のためにCASEに保存されましたDCが壊れているのですか?
DCがダウンしているときに、以前にログインしたことがないボックスにログインしようとした場合、同じプロセスが機能しますか?
デフォルトでは、Windowsは マシンにログインするために最後の10〜25人のユーザーをキャッシュします (OSバージョンによって異なります)。 この動作はGPOを介して構成可能 であり、通常、セキュリティが重要な場合は完全にオフになります。
すべてのDCに到達できないときにログインしたことがないワークステーションまたはメンバーサーバーにログインしようとすると、There are currently no logon servers available to service the logon request
はい、資格情報はログインする各マシンにキャッシュされます。 DCがダウンする前に特定のマシンにログインしていなかった場合、資格情報が利用できないためログインできません。