Active Directory Cached Logons
Hallo zusammen,
Wenn man sich mit seinem Notebook an der Domäne anmeldet, authentifiziert man sich an den Domain Controllern. Trennt man das Notebook vom Netzwerk oder arbeitet beispielsweise zuhause, dann kann man sich trotzdem am Computer anmelden. Das geht weil die letzten erfolgreichen Anmeldungen gechached werden.
Kürzlich kam die Frage auf wie denn nun die Cached Credentials wirklich funktionieren. Ich habe mich da mal ein bisschen schlau gemacht.
Ich habe eine GroupPolicy mit der folgenden Einstellung gemacht
Interactive logon: Number of previous logons to cache (in case domain controller is not available) = 5
Auf dem Testcomputer habe ich dann die GroupPolicy aktualisiert
gpupdate /force
Nun habe ich mich nacheinander mit dem "User01" bis "User10" eingeloggt. Nun müssten eigentlich nur die logons von "User06" bis "User10" zwischengespeichert sein.
Nun trennen wir mal das Netzwerk in der VM um das zu testen.
Versuche ich mich mit dem "User04" einzuloggen - erhalte ich die folgende Fehlermeldung.
Ab dem "User06" kann ich mich auch ohne Netzwerk einloggen.
Tja und wo sind denn diese Cached Credentials gespeichert. Angeblich unter HKEY_LOCAL_MACHINE\SECURITY\CACHE
Aber selbst wenn ich Regedit als Administrator ausführe kann ich da nicht zugreifen.
Da hilft einmal mehr psexec von Sysinternals. Ich starte eine CMD unter dem Systemkontext (-s) und lasse diese Interaktiv laufen (-i)
psexec -s -i -d cmd.exe
In dieser CMD starte ich dann Regedit
Et voila, nun sehe ich die fünf Cached Credentials.
Weitere Informationen:
Cached credentials security in Windows Server 2003, in Windows XP, and in Windows 2000
http://support.microsoft.com/kb/913485/en-us
Zwischengespeicherte Anmeldeinformationen (CachedLogonsCount)
http://support.microsoft.com/kb/172931
