域缓存登录

请教有关缓存登录和自动脱域的问题。 首先介绍客户的环境，DC的操作系统是2008 R2，林和域的功能等级提升到了2008 R2，客户端操作系统60%是win7 ，40%是XP，

1：客户笔记本加入域以后，出差在外，是可以通过缓存登录用域账户登录到计算机的，那么这个缓存登录有没有期限，就是多少时间以内要和DC联系或者登录多少次以后要和DC联系，如果有，请问如何修改？

2：客户的计算机加入了域，但是由于各种原因，一直使用的是本机账户登录计算机，但是最近开始登录域的时候，发现登录不了，查询资料说计算机在30天内不登录域会自动脱离域，那么这个30天的期限可否修改，少量机器脱离域重新加域即可，如果脱域的计算机数量很多，是否有批量的方法可以重新加域

 

回答：1：客户笔记本加入域以后，出差在外，是可以通过缓存登录用域账户登录到计算机的，那么这个缓存登录有没有期限，就是多少时间以内要和DC联系或者登录多少次以后要和DC联系，如果有，请问如何修改？

缓存登录是没有期限的，但是你可以通过修改注册表来修改这台机器可以保存多少条缓存登录记录：

HKLM\SOFTWARE\MICROSOFT\Windows NT\CurrentVersion\Winlogon\ CachedLogonsCount

如果键值为10，是指10个用户登录，而不是一个用户登陆的最大有效次数，一个用户可登陆的次数理论上是无限的。

这些信息存在 HKEY_LOCAL_MACHINE\SECURITY\Cache 里。其下设定10个子键，名称从 NL$1-NL$10，每当一个帐户登陆此计算机，其Profile被创建在 %HOMEDRIVE%\Documents and Settings 下，相应的帐户信息和安全性描述被缓存下来，并在此键值中作出记录。该键值中记录已经登陆帐户的名称及其相关标识。

值得注意的是，这里所说的 10 个用户帐户，是指已经在本地登陆过的，也就是已经 cache 到本地了的帐户，而不是任意的帐户。如果没有登陆过帐户，由于在登陆的时候，需要查询域控制器，那么在交互式登陆下，系统立刻会提示当前域不可用。在加入域的计算机中，此策略的有效设定，最终取决于域策略的设定。您看到的文章来自活动目录seo http://adirectory.blog.com/category/active-directory/

2：客户的计算机加入了域，但是由于各种原因，一直使用的是本机账户登录计算机，但是最近开始登录域的时候，发现登录不了，查询资料说计算机在30天内不登录域会自动脱离域，那么这个30天的期限可否修改，少量机器脱离域重新加域即可，如果脱域的计算机数量很多，是否有批量的方法可以重新加域？

在加入域的时候，管理员为每个计算机在域中（可和用户不在同一域中）建立了一个计算机帐户，这个帐户和用户帐户一样，也有密码保护的。计算机帐户的密码不叫密码，在域中称为登录票据，它是由域控制器上的KDC服务来颁发和维护的。为了保证系统的安全，KDC服务每30天会自动更新一次所有的票据。如果票据没有被更新，那么该计算机将不能被KDC服务验证，从而系统将禁止在这个计算机上的任何访问请求（包括登录），简单的方法是将计算机脱离域并重新加入，KDC服务会重新设置这一票据。

我们可以通过修改组策略来对期限进行修改或禁止：

MaximumPasswordAge (default 30 days)

http://support.microsoft.com/kb/154501/zh-cn

DisablePasswordChange (default off)

http://technet.microsoft.com/en-us/library/cc781050.aspx

更多的信息请参考：

Machine Account Password Process

http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx

另外，我们是无法用批量的方法将脱离域的机器重新加域的。

计算机配置-策略-windows设置-安全设置-本地策略-安全选项里的交互式登录：之前登录到缓存的次数

这条策略就是我之前提到的CachedLogonsCount注册表键值。