域快取登入

請教有關快取登入和自動脫域的問題。首先介紹客戶的環境，dc的作業系統是2008 r2，林和域的功能等級提公升到了2008 r2，客戶端作業系統60%是win7 ，40%是xp，

1：客戶筆記本加入域以後，出差在外，是可以通過快取登入用域賬戶登入到計算機的，那麼這個快取登入有沒有期限，就是多少時間以內要和dc聯絡或者登入多少次以後要和dc聯絡，如果有，請問如何修改？

2：客戶的計算機加入了域，但是由於各種原因，一直使用的是本機賬戶登入計算機，但是最近開始登入域的時候，發現登入不了，查詢資料說計算機在30天內不登入域會自動脫離域，那麼這個30天的期限可否修改，少量機器脫離域重新加域即可，如果脫域的計算機數量很多，是否有批量的方法可以重新加域

回答：1：客戶筆記本加入域以後，出差在外，是可以通過快取登入用域賬戶登入到計算機的，那麼這個快取登入有沒有期限，就是多少時間以內要和dc聯絡或者登入多少次以後要和dc聯絡，如果有，請問如何修改？

快取登入是沒有期限的，但是你可以通過修改登錄檔來修改這台機器可以儲存多少條快取登入記錄：

hklm\software\microsoft\windows nt\currentversion\winlogon\ cachedlogonscount

如果鍵值為10，是指10個使用者登入，而不是乙個使用者登陸的最大有效次數，乙個使用者可登陸的次數理論上是無限的。

這些資訊存在 hkey_local_machine\security\cache 裡。其下設定10個子鍵，名稱從 nl$1-nl$10，每當乙個帳戶登陸此計算機，其profile被建立在 %homedrive%\documents and settings 下，相應的帳戶資訊和安全性描述被快取下來，並在此鍵值中作出記錄。該鍵值中記錄已經登陸帳戶的名稱及其相關標識。

2：客戶的計算機加入了域，但是由於各種原因，一直使用的是本機賬戶登入計算機，但是最近開始登入域的時候，發現登入不了，查詢資料說計算機在30天內不登入域會自動脫離域，那麼這個30天的期限可否修改，少量機器脫離域重新加域即可，如果脫域的計算機數量很多，是否有批量的方法可以重新加域？

在加入域的時候，管理員為每個計算機在域中（可和使用者不在同一域中）建立了乙個計算機帳戶，這個帳戶和使用者帳戶一樣，也有密碼保護的。計算機帳戶的密碼不叫密碼，在域中稱為登入票據，它是由域控制器上的kdc服務來頒發和維護的。為了保證系統的安全，kdc服務每30天會自動更新一次所有的票據。如果票據沒有被更新，那麼該計算機將不能被kdc服務驗證，從而系統將禁止在這個計算機上的任何訪問請求（包括登入），簡單的方法是將計算機脫離域並重新加入，kdc服務會重新設定這一票據。

我們可以通過修改組策略來對期限進行修改或禁止：

maximumpasswordage (default 30 days)

disablepasswordchange (default off)

machine account password process

另外，我們是無法用批量的方法將脫離域的機器重新加域的。

計算機配置-策略-windows設定-安全設定-本地策略-安全選項裡的互動式登入：之前登入到快取的次數

這條策略就是我之前提到的cachedlogonscount登錄檔鍵值。

域快取登入

單點登入域使用者常規登入 AD域

實現域登入介紹

cookie跨域問題跨域登入

域快取登入

單點登入 域使用者 常規登入 AD域

實現域登入 介紹

cookie跨域問題 跨域登入

相關推薦

單點登入域使用者常規登入 AD域

實現域登入介紹

cookie跨域問題跨域登入