Как кэшировать учетные данные на компьютере

Обновлено: 07.07.2024

Я программист и специалист по финансам, который неохотно отвечает за информационные технологии, а также среди других более подходящих отделов нашей фирмы из восьми человек. Я очень плохо знаком с IT, поэтому, пожалуйста, потерпите меня и предположите, что я знаю очень мало.

У нас есть ограниченное количество ноутбуков для совместного использования / отдыха, которые часто торгуют руками. Несмотря на мое руководство, сотрудники взлетают с ноутбуком, который не кэширует свои учетные данные, поэтому они не могут войти в систему. (Я пытаюсь заставить их войти, прежде чем они отправятся!)

Как я могу кэшировать все учетные данные на каждом из путешествующих ноутбуков? И это мудрый? Приветствуются предложения альтернативных (бесплатных) решений, которые решают эту проблему по-другому.

Ноутбук: Windows 7 без прав локального администратора, Сервер: Windows 2008 R2

Получите их, чтобы войти, прежде чем уйти из сети с ноутбуком. Шредер - заметка «Несмотря на мое руководство» часть моего вопроса. Я попробую! Я добавил разъяснения по этому вопросу в своем вопросе. Кроме того, где я должен публиковать подобные вопросы? Я вижу, вы перенесли мой вопрос. Отметил, и я согласен; однако, это сложно, когда ваш генеральный директор во время праздников нуждается в помощи. Как настраивать или выполнять задачи в конкретной ОС, как правило, вопрос типа SuperUser.

Как упоминает Шредер в своем комментарии, для этого необходимо, чтобы сотрудники входили в компьютер, пока он еще подключен в офисе.

В групповой политике можно настроить параметр, который сообщает компьютеру, сколько учетных данных он может отозвать, что позволяет одному или двум сотрудникам войти в систему на компьютере в офисе, а затем вывести компьютер из офиса и при этом быть в состоянии войти, но даже это имеет свои пределы.

Проблема с тем, что вы запрашиваете, заключается в том, что вы, по сути, попросите компьютер сохранить копию аутентификации для всех учетных записей пользователей в домене и запросить любую обновленную информацию об этих учетных записях пользователей, такую ​​как измененные пароли или имена или разрешения, когда бы они ни менялись.

Во-первых, это нецелесообразно, потому что ноутбуки должны быть все равно подключены к домену, чтобы получить эту информацию, и почему пользователь-заемщик просто не может войти в систему, прежде чем уйти, во-вторых, это крайне небезопасно.

Если компьютер, запомнивший информацию об одной учетной записи, покидает офис и похищается, вы сбрасываете информацию об этой одной учетной записи. Но если у вас есть ВСЕ сведения для ВСЕХ учетных записей домена на этом ноутбуке, у вас возникнут проблемы, записанные с большой буквы «Т».

В рамках вашей новой роли вы также являетесь исполнителем, и правила должны быть как для безопасности информации компании, так и для вашего здравого смысла, что сотрудники ДОЛЖНЫ войти в компьютер ДО того, как они покинут офис или покинут офис. удачи.

То, что они забыли то, что им сказали, не является причиной для паники. Им не два года. Они взрослые, которые могут понять и следовать инструкциям. Я предполагаю.

ОБНОВЛЕНИЕ: Предлагаемый процесс & amp; Волшебный обходной путь

Предлагаемый процесс

Вариант 1: Храните все ноутбуки ссудополучателя в своем офисе, на своем техническом столе и т. Д. Когда люди приходят, чтобы проверить их у вас, попросите их войти в систему, прежде чем они уйдут. Бонус: вы знаете, что ноутбук работает.

Вариант 2: Дайте генеральному директору ноутбук для их единственного компьютера Тогда они уже вошли в систему.

Волшебный обходной путь

Не просто отдать это. Сохраняйте его в те времена, когда вам действительно нужно сэкономить бекон или набрать кусочки пирожных и использовать его только с осторожностью.

Установите какое-либо VPN-соединение, а затем настройте ОЧЕНЬ ограниченную локальную учетную запись на всех ноутбуках, которые ТОЛЬКО подключаются к доступному интернет-соединению и запускают VPN-соединение.

Вы можете сделать это таким образом, чтобы в этой ограниченной учетной записи даже не отображались значки панели задач или рабочего стола.

Есть еще небольшое наказание, потому что они должны были изменить свой пароль, но это, мы надеемся, должно послужить напоминанием, чтобы сделать все правильно в следующий раз

При входе на компьютер с доменной учетной записью пользователь вводит свои учетные данные, которые передаются на ближайший контроллер домена для проверки подлинности. Если в сетевом окружении отсутствуют доступные контроллеры домена, то учетные данные проверить некому и в систему пользователь войти не сможет.

Чтобы избежать подобной ситуации, после успешного входа в систему учетные данные пользователя сохраняются в кэш на локальном компьютере. Это позволяет войти в систему с доменными учетными данными и получить доступ к ресурсам локального компьютера даже при отсутствии подключения к домену.

Примечание. Если быть точным, то кэшируются не сами учетные данные (логин и пароль), а результат их проверки. Еще точнее система хранит хэш пароля, модифицированный при помощи соли (salt), которая в свою очередь, генерируется на основе имени пользователя. Кэшированные данные хранятся в разделе реестра HKLM\SECURITY\Cache, доступ к которому имеет только система.

За возможность кэширования отвечает параметр реестра CashedLogonsCount, находящийся в разделе HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Этот параметр определяет количество уникальных пользователей, чьи учетные данные сохраняются локально. По умолчанию значение параметра равно 10, что означает следующее: учетные данные сохраняются для последних 10 пользователей, заходивших в систему, а при входе на компьютер одиннадцатого пользователя учетные данные первого пользователя будут перезаписаны.

Управлять значением CashedLogonsCount можно централизованно, с помощью групповых политик. Для этого необходимо создать новый GPO (или открыть существующий), перейти в раздел Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options и найти параметр Interactive logon: Number of previous logons to cache (in case domain controller is not available).

По умолчанию данный параметр не определен (Not Defined), соответственно на всех компьютерах используется дефолтное значение. Для его изменения надо включить параметр и указать необходимое значение в пределах от 0 до 50. Значение, равное 0, означает запрет на кэширование учетных данных, соответственно при этом значении вход в систему при недоступности контроллера домена невозможен.

Поскольку теоретически при наличии физического доступа к компьютеру у злоумышленника есть возможность воспользоваться сохраненными учетными данными, то для повышения безопасности рекомендуется отключать локальное кэширование. Исключение могут составить пользователи мобильных устройств (ноутбуков, планшетов и т.п.), которые пользуются устройствами как на работе, так и вне ее. Для таких пользователей количество кэшированных входов можно задать в пределах 1-2. Этого вполне достаточно для работы.

И в завершение пара важных моментов:

• Для того, чтобы учетные данные были закешированы необходимо, чтобы пользователь хотя-бы раз зашел на компьютер под своей доменной учетной записью при доступном контроллере домена.
• Довольно часто параметр CashedLogonsCount трактуют как количество входов в систему при отсутствии доступа к домену. Это не так, и если учетные данные пользователя закешированы локально, то он сможет заходить в систему неограниченное количество раз.

В этой статье устраняется сбой логотипа, который возникает при входе в Windows Vista или Windows 7 с помощью кэшных учетных данных.

Применяется к: Windows 7 Пакет обновления 1
Исходный номер КБ: 2555663

Симптомы

Пользователи получают следующую ошибку при входе на Windows Vista или Windows 7 с помощью кэширования учетных данных:

В настоящее время нет серверов с логотипами, доступных для обслуживания запроса на логотип.

LsaSrv Event 45058, войдите в журнал системных событий рабочей станции с присоединимой к домену рабочей станции, указывает, что операционная система удалила кэшировали учетные данные пользователя, указанного в событии:

Причина

Ошибка логона пользователя возникает, когда кэшировали учетные данные пользователя с локального компьютера с помощью более последних логонов пользователей домена.

Windows Учетные данные Windows и 7 учетных данных операционных систем для конечного числа учетных записей пользователей (если кэшировать учетные данные не были отключены).

После того, как квота кэшированных логотипов будет достигнута, операционная система будет очищать самые старые кэшированные учетные данные с локального компьютера, чтобы учетные данные для следующего уникального пользователя домена, успешно проверки подлинности с помощью контроллера домена, могли быть кэшированы. Ведение журнала события LsaSrv 45058 указывает на то, что квота кэширования логотипа была достигнута, что вызвало удаление старейшей учетной записи пользователя, кэширования на локальном компьютере.

Решение

Убедитесь, что учетные данные кэша разрешены на локальном компьютере.

Если значение реестра CachedLogonsCount — 0, то система не будет кэшировали учетные данные пользователей домена. Дополнительные сведения см. в разделе Дополнительные сведения, чтобы определить настраиваемый диапазон.

Если учетные данные пользователя были удалены или кэшировали учетные данные отключены, установить сетевое подключение и разрешение имен с помощью одного или более контроллеров домена, которые могут проверить подлинность логотипа домена учетной записи пользователя (VPN и так далее), а затем успешно проверить подлинность логотипа пользователя.

Если включены кэшные логоны, успешный логон кэшет учетные данные этого пользователя при чистке старейших кэшных учетных данных.

Если установить подключение домена через VPN по программному обеспечению, вам, скорее всего, придется установить VPN от другого локального или кэшного пользователя домена, сохранить это подключение во время входа, а затем войти или переключиться на учетную запись пользователя домена, учетные данные которого необходимо кэширование.

Оцените увеличение квоты логона кэша с администратором домена.

Дополнительная информация

По умолчанию операционная Windows кэшет 10 учетных данных пользователей домена локально. Когда максимальное число учетных данных кэшировали и новый пользователь домена вошел в систему, старейшая учетная запись была стерта из слота, чтобы сохранить самые новые учетные данные. Это информационное событие LsaSrv просто записи, когда это действие имеет место. После удаления кэшированных учетных данных это не означает, что учетная запись не может быть аутентификацией контроллера домена и снова кэширована.

Количество слотов, доступных для хранения учетных данных, контролируется:

• Путь реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
• Имя параметра: CachedLogonsCount
• Тип данных: REG_SZ
• Значение: значение по умолчанию = 10 десятичных, максимальное значение = 50 десятичных, минимальное значение = 1

Кэшируемые учетные данные можно также управлять групповой политикой путем настройки:

Путь настройки групповой политики: конфигурация компьютера\политики\Windows Параметры\security Параметры\Local Policies\Security Options.

Параметр групповой политики: интерактивный логотип: количество предыдущих логонов в кэш (в случае, если контроллер домена не доступен)

Рабочие станции, к которые пользователь должен иметь доступ, должны иметь физическую связь с доменом, а пользователь должен пройти проверку подлинности с помощью контроллера домена, чтобы снова кэшировать учетные данные.

Не удалось выполнить вход в систему, поскольку домен <ИМЯ_ДОМЕНА> недоступен

По умолчанию в домене, число входов на рабочую станцию в отсутствии связи с домен контроллером равно 10 раз вне зависимости, какая у Вас используется операционная система (Windows XP, Windows 7 и более старшие модели)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon\

Запущенный редактор реестра (Win + R и набрать regedit) для просмотра текущего значения :

Специально для таких сотрудников рекомендую создать отдельное подразделение (OU) в домене и поместить в неё имена компьютеров. И увеличить это значение до максимально возможного, т.е. пятидесяти (50).

Заходим на домен контроллер (dc1.polygon.local) под учётной записью ekzorchik (входит в группу Domain Admins).

Запускаем оснастку управления групповыми политиками – Group Policy Management :

«Start» – «Control Panel» – «Administrative Tools» – «Group Policy Management», далее развернём узел «Group Policy Objects» (Объекты групповой политики)

В моём случае это будет подразделение IT (в Вашем случаем создавайте/выбирайте нужное Вам).

Создадим групповую политику и назовём её: GPO_CacheLogonCount.

И так у нас создан шаблон, который по умолчанию привязан к контейнеру IT и применяем на всех пользователей прошедших проверку (Authenticated Users), но т.к. у нас отдельное подразделение добавим конкретно те имена компьютеров, которые работает вне домена с ноутбуками .

Должно получиться вот так:

Location : IT

Security Filtering : WXP86.polygon.local – станция которая обладаем возможности работать вне домена (ноутбук).

Заметка: Для удобства рабочие станции можно объединять в группы.

Т.к. политика будет распространяться на компьютеры, то редактируем соответствующий раздел:

«Computer Configuration» –«Policies» – «Windows Settings» – «Security Settings» – «Local Policies» – «Security Options» – «Interactive Logon: Number of previous logons to cache (in case domain controller is not available)» (Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)

Все политика настроена. Чтобы все изменения применились, следует перезагрузить компьютер, чтобы изменения вступили в силу.

И так, что мы имеем, увеличено количество входа в рабочую станцию вне офиса. А политикой мы разграничиваем тем сотрудникам, которые имеют согласование начальства работать удалённо или в командировках. Надеюсь, данный материал будет полезен всем заинтересованным лицам. На этом всё, удачи.

Используйте прокси ((заблокировано роскомнадзором, используйте vpn или proxy)) при использовании Telegram клиента:

Поблагодари автора и новые статьи

будут появляться чаще :)

Карта МКБ: 4432-7300-2472-8059

Большое спасибо тем кто благодарит автора за практические заметки небольшими пожертвованиями. С уважением, Олло Александр aka ekzorchik.

Читайте также:

  
• Сертификат безопасности тр тс 04 или тр тс 20 на компьютер
  
• The rules have already been added to the firewall policies как исправить
  
• Geforce 620m сколько памяти
  
• Explay l70 не видит компьютер
  
• Дисплей самсунг а50 не оригинал отзывы