2015年7月14日 星期二

目的:用戶端於無法連上網域控制器還能夠進行登入的動作

狀況:當有用戶用 NB 加入網域,並且外出時,還能夠登入不會顯示網域無法使用。

修改方式有兩個方法:

1、regedit 中的 [HKLM]→[Software]→[Microsoft]→[Windows NT]→[CurrentVersion]→[Winlogons] 裡
 [cachedlogonscount ] 

這個值決定了“快取的登入次數“,其實也可以說是“最近登入網域的用戶的數量“,在 XP 中是 10。
即快取最新的 10 次“不同用戶“的登入。假設有一台電腦這個值設定成 2,接下來進行了四次登入,帳號依
序為sho tony mary mary,則電腦會快取 mary 及 tony 這兩個登入的紀遇。

接下來切斷 Client 與 DC 間的通訊,能夠登入的只有兩個人,即 tony 跟 mary,sho 則會顯示網域無法使用。
關於這個快取的資訊可以在 [HKLM]→[SECURITY]→[Cache] 中的 NL$3 及 NL$2 看到,同理如果  
[cachedlogonscount ]  設定成 3,你會看到 NL$3,記得先讓管理員有讀取 [Security] 權限才看的到 [Cache]。
而這個值改成 0,就不會快取任何登入了。

2、使用群組原則修改
群組原則中的 [電腦設定]→[Windows設定]→[安全性設定]→[本機原則]→[安全性選項] 裡面有一條
[互動式登入:先前網域控制站無法使用時的登入快取次數]

這一條規則就是在設定這個項目,他會去更改 Client 端如 1 所述的登錄檔機碼。
關於這個快取的期限,據說是無限永不過期,我把系統改成 50 年後還能用就是了XD,不過別讓一台電紿離線太久會比較好。

沒有留言:

張貼留言