缓存登录主要是为了解决当公司域控制器发生故障联系不上DC或用户拿笔记本电脑回家不拔VPN的情况下,依然能够登录到系统,进行办公。如果用户登录的时候联系不到DC,那么就凭用户登录时输入的用户名和密码去缓存中校验,如果能联系上DC就不会使用缓存技术。
默认情况下不做任何设置,客户端可以缓存10个域账号,最多可以缓存50个域账号,理论上缓存时间为永久,缓存位置如下:
1、以管理员运行注册表 找到 KEY_LOCAL_MACHINE → SECUITY
2、默认管理员是没有 SECURITY 权限的,需要把管理员添加权限
3、刷新后查看,默认情况下,客户端可以缓存10个域账号,红线标注的说明已经有2个域账号登陆已被缓存,本例是 zhangsan 跟 管理员 sh.it
4、AD通过设置缓存用户数量,可以达到禁止缓存的功能
(1)在OU下面创建一个GPO,注意这里要把计算机也要放到这个OU下面,因为设置的是计算机
(2) 计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 安全选项 → 交互式登陆:之前登录到缓存的次数(域控制器不可用时)
(3) 将不要缓存登陆次数设为 0
(4)DC端跟客户端分别执行
gpupdate /force 5、我们把 DC1 关机
6、 客户端开机再次登陆
7、把DC1开机后,客户端成功登陆
