Ash Asked: 2014-11-06 15:17:08 +0800 CST2014-11-06 15:17:08 +0800 CST 2014-11-06 15:17:08 +0800 CST 在终端服务器上存储缓存的凭据 772 是否可以在终端服务器上存储缓存的登录凭据,以便在域控制器无法访问时允许用户登录? 如果可以的话,你能设定一个时间限制吗?例如,X 天后将需要 DC 身份验证。 终端服务器:Windows Server 2008 R2 标准 windows-server-2008-r2 1 个回答 Voted Best Answer Ryan Ries 2014-11-06T15:49:28+08:002014-11-06T15:49:28+08:00 当用户登录到计算机时,Windows 已经存储了用户的“密码验证器”,通常称为“缓存凭据”。默认情况下,它将存储大约 10 个,这意味着第 11 个登录用户将覆盖第一个登录用户的缓存凭据,依此类推。使用组策略或本地策略可以轻松更改此数字。(0 - 50。) http://technet.microsoft.com/en-us/library/jj852209.aspx Windows 中的缓存凭据实际上更像是“密码验证器”或“身份验证器”,因为它们实际上是“散列的散列”,而不是用户的实际密码本身,甚至是它的直接散列。在 Pass-The-Hash 类型的场景中,您不能将这些“缓存的凭据”传递给另一个服务……尽管认为存储这些凭据验证器根本没有风险是天真的。 如果可以的话,你能设定一个时间限制吗?例如,X 天后将需要 DC 身份验证。 不,这不是 Windows 本身所做的事情。不过,我想,如果您足够专注,您可以编写一个应用程序或脚本来清除超过一定天数的缓存凭据。
当用户登录到计算机时,Windows 已经存储了用户的“密码验证器”,通常称为“缓存凭据”。默认情况下,它将存储大约 10 个,这意味着第 11 个登录用户将覆盖第一个登录用户的缓存凭据,依此类推。使用组策略或本地策略可以轻松更改此数字。(0 - 50。)
http://technet.microsoft.com/en-us/library/jj852209.aspx
Windows 中的缓存凭据实际上更像是“密码验证器”或“身份验证器”,因为它们实际上是“散列的散列”,而不是用户的实际密码本身,甚至是它的直接散列。在 Pass-The-Hash 类型的场景中,您不能将这些“缓存的凭据”传递给另一个服务……尽管认为存储这些凭据验证器根本没有风险是天真的。
不,这不是 Windows 本身所做的事情。不过,我想,如果您足够专注,您可以编写一个应用程序或脚本来清除超过一定天数的缓存凭据。