关于本地缓存登录 和 域用户将计算机加入域的问题及登陆过程- -

 这是我看过最清楚的文章,登录过程写得很是详细.

 

用处:

公司的笔记本加入域后,外出怎么样办,用缓存登录呀.

有人发现公司的电脑,在DC坏掉后,还能够登录,很是奇怪,那就是缓存登录的缘由,你能够在域控制器里设置是否容许缓存登录及缓存的个数(只用登录过才能缓存哟)

 

默认是关闭的

您能够在“域安全策略”-〉“安全设置”-〉“本地策略”-〉“安全选项”-〉在右边找到“交互式登陆：可被缓存的前次登陆个数（在域控制器不可用的状况下）”后双击，设置为X便可(X表明你缓存的数量)

这些缓存存放的位置，它们是存放在注册表中的，具体路径以下：
HKEY_LOCAL_MACHINE/Security/Cache，可是这个键值连管理员默认都没有权限查看，因此请您在Security上右击一下，点权限，而后给管理员“读”权限。以后您就可以在下面看见N1$,N2$,N3$,N4$,N5$,N6$,N7$,N8$,N9$,N10$这些键值，这就是10个缓存的凭证，您能够手动删除它们。

 

下面是转的文章,也不知道是谁写的.

 

在AD的平常管理中，有两个概念容易弄错，这里提一下：

 

一）关于域控制器不可用时，使用本地缓存登录的问题。

 

在   "本地计算机"策略--计算机配置--Windows   设置--安全设置---本地策略--安全选项中，存在以下设置项：
    Interactive logon: Number of previous logons to cache (in case domain controller is not available)   ：      10 logons
这里所指的10次，是10个用户登录。而不是一个用户登录的最大有效次数，一个用户可登录的次数理论上是无限的。若是要禁止此项设定，您能够把这个值设为0。

 

这些信息存在 HKEY_LOCAL_MACHINE/SECURITY/Cache 里。其下设定10个子键，名称从 NL$1-NL$10，每当一个账户登录此计算机，其Profile被建立在 %HOMEDRIVE%/Documents and Settings 下，相应的账户信息和安全性描述被缓存下来，并在此键值中做出记录。该键值中记录已经登录账户的名称及其相关标识。

（注：默认状况下，管理员组对于 HKEY_LOCAL_MACHINE/SECURITY 子键没有读写权限，您能够执行 regedt32.exe <windows 2000> 或者 regedit.exe <windowsXP> 添加对于该子键的读权限。关于注册表的描述和操做，请参考  Microsoft Windows 注册表说明 ）

 

值得注意的是，这里所说的 10 个用户账户，是指已经在本地登录过的，也就是已经 cache 到本地了的账户，而不是任意的账户。若是没有登录过账户，因为在登录的时候，须要查询域控制器，那么在交互式登录下，系统马上会提示当前域不可用。在加入域的计算机中，此策略的有效设定，最终取决于域策略的设定。

因为windows中此项机制的运做，此键值能够做为***检测的项目之一。

关于此设定描述，请参考  825805 "Interactive Logon: Number of Previous Logons to Cache" Help Topic
有趣的是，即使在Windows 2003 的随机文档中，关于此项的描述也是错误的，或许这个设定从字面上来理解，太容易让人误解了 

BTW：也是在 HKEY_LOCAL_MACHINE/SECURITY/ 下，存在 SAM 的子键，不禁让人想起前段时间，网络上很流行的 000001F4 000001F5 克隆 那个 F的方法 

 

二）关于域账户将计算机加入域的问题

经过编辑default domain policy，计算机安全设定中，关于用户权利指派的策略项目中，咱们能够指定什么用户能够在网域中添加工做站。默认状态下，在域控制器上通过身份验证的用户，有权限将计算机添加到域，这个动做可使得该验证账户域中最多可建立 10 个计算机账户。
此动做在域中添加计算机账户，容许计算机加入基于 Active Directory 的网络。例如，在域中添加工做站后，该工做站可以识别 Active Directory 中已有的账户和组。
这个10次的设置是能够更改的。以域管理员身份执行 adsiedit.msc （此工具存在于windows安装光盘 Support/Tools 下的 support tools 中），展开 Domain NC 节点。选择 "DC=" 的对象，右键点击选择属性。在其属性下拉列表中选择 ms-DS-MachineAccountQuota 进行编辑，此设置项的数值决定了域验证账户有权限加入计算机的数目。相关信息请参考： 251335 Domain Users Cannot Join Workstation or Server to a Domain
但对于在 Active Directory Computers容器上有“建立计算机对象”权限的用户，则不受此建立 10 个计算机账户的限制。在受权OU管理员管理计算机账户的时候，咱们就能够这样做，一方面在OU下做出委派的受权动做，同时能够在Computers容器上添加该账户建立计算机对象的权限，这样此账户即可以自行添加计算机了 。

另外，经过“域中添加工做站”的方式建立的计算机账户将“域管理员”看做该计算机账户全部者，而经过计算机容器权限方式建立的计算机账户则将建立者看做计算机账户的全部者。若是用户既有容器的权限，又有“将工做站添加到域”的用户权利，则将基于计算机容器权限而非用户权利添加计算机。

 

http://www.winmag.com.cn/forum/itemdisplay.asp?page=1&boardid=5&id=629660

登陆到本机的过程 一、用户首先按Ctrl+Alt+Del组合键。 二、winlogon检测到用户按下SAS键，就调用GINA，由GINA显示登陆对话框，以便用户输入账号和密码。 三、用户输入账号和密码，肯定后，GINA把信息发送给LSA进行验证。 四、在用户登陆到本机的状况下，LSA会调用msv1_0.dll这个验证程序包，将用户信息处理后生成密钥，同SAM数据库中存储的密钥进行对比。 五、若是对比后发现用户有效，SAM会将用户的SID(Security Identifier——安全标识)，用户所属用户组的SID，和其余一些相关信息发送给LSA。 六、LSA将收到的SID信息建立安全访问令牌，而后将令牌的句柄和登陆信息发送给winlogon.exe。 七、winlogon.exe对用户登陆稍做处理后，完成了整个登陆过程。 登陆到域的过程 登陆到域的验证过程，对于不一样的验证协议也有不一样的验证方法。若是域控制器是Windows NT 4.0，那么使用的是NTLM验证协议，其验证过程和前面的“登陆到本机的过程”差很少，区别就在于验证账号的工做不是在本地SAM数据库中进行，而是在域控制器中进行;而对于Windows2000和Windows2003域控制器来讲，使用的通常为更安全可*的Kerberos v5协议。经过这种协议登陆到域，要向域控制器证实本身的域账号有效，用户需先申请容许请求该域的TGS(Ticket-Granting Service——票据授予服务)。获准以后，用户就会为所要登陆的计算机申请一个会话票据，最后还需申请容许进入那台计算机的本地系统服务。 其过程以下: 一、用户首先按Ctrl+Alt+Del组合键。 二、winlogon检测到用户按下SAS键，就调用GINA，由GINA显示登陆对话框，以便用户输入账号和密码。 三、用户选择所要登陆的域和填写账号与密码，肯定后，GINA将用户输入的信息发送给LSA进行验证。 四、在用户登陆到本机的状况下，LSA将请求发送给Kerberos验证程序包。经过散列算法，根据用户信息生成一个密钥，并将密钥存储在证书缓存区中。 五、Kerberos验证程序向KDC(Key Distribution Center——密钥分配中心)发送一个包含用户身份信息和验证预处理数据的验证服务请求，其中包含用户证书和散列算法加密时间的标记。 关于本地缓存登录 和 域用户将计算机加入域的问题及登陆过程- - 六、KDC接收到数据后，利用本身的密钥对请求中的时间标记进行解密，经过解密的时间标记是否正确，就能够判断用户是否有效。 七、若是用户有效，KDC将向用户发送一个TGT(Ticket-Granting Ticket——票据授予票据)。该TGT(AS_REP)将用户的密钥进行解密，其中包含会话密钥、该会话密钥指向的用户名称、该票据的最大生命期以及其余一些可能须要的数据和设置等。用户所申请的票据在KDC的密钥中被加密，并附着在AS_REP中。在TGT的受权数据部分包含用户账号的SID以及该用户所属的全局组和通用组的SID。注意，返回到LSA的SID包含用户的访问令牌。票据的最大生命期是由域策略决定的。若是票据在活动的会话中超过时限，用户就必须申请新的票据。 八、当用户试图访问资源时，客户系统使用TGT从域控制器上的Kerberos TGS请求服务票据(TGS_REQ)。而后TGS将服务票据(TGS_REP)发送给客户。该服务票据是使用服务器的密钥进行加密的。同时，SID被Kerberos服务从TGT复制到全部的Kerberos服务包含的子序列服务票据中。 九、客户将票据直接提交到须要访问的网络服务上，经过服务票据就能证实用户的标识和针对该服务的权限，以及服务对应用户的标识。