這是我看過最清楚的文章,登陸過程寫得非常詳細.
用處:
公司的筆記本加入域後,外出怎麼樣辦,用緩存登陸呀.
有人發現公司的電腦,在DC壞掉後,還可以登陸,非常奇怪,那就是緩存登陸的原因,你可以在域控制器裏設置是否允許緩存登陸及緩存的個數(只用登陸過才能緩存喲)
默認是關閉的
您可以在“域安全策略”-〉“安全設置”-〉“本地策略”-〉“安全選項”-〉在右邊找到“交互式登錄:可被緩存的前次登錄個數(在域控制器不可用的情況下)”後雙擊,設置爲X即可(X代表你緩存的數量)
這些緩存存放的位置,它們是存放在註冊表中的,具體路徑如下:
HKEY_LOCAL_MACHINE\Security\Cache,但是這個鍵值連管理員默認都沒有權限查看,所以請您在Security上右擊一下,點權限,然後給管理員“讀”權限。之後您就能夠在下面看見N1$,N2$,N3$,N4$,N5$,N6$,N7$,N8$,N9$,N10$這些鍵值,這就是10個緩存的憑證,您可以手動刪除它們。
您可以在“域安全策略”-〉“安全設置”-〉“本地策略”-〉“安全選項”-〉在右邊找到“交互式登錄:可被緩存的前次登錄個數(在域控制器不可用的情況下)”後雙擊,設置爲X即可(X代表你緩存的數量)
這些緩存存放的位置,它們是存放在註冊表中的,具體路徑如下:
HKEY_LOCAL_MACHINE\Security\Cache,但是這個鍵值連管理員默認都沒有權限查看,所以請您在Security上右擊一下,點權限,然後給管理員“讀”權限。之後您就能夠在下面看見N1$,N2$,N3$,N4$,N5$,N6$,N7$,N8$,N9$,N10$這些鍵值,這就是10個緩存的憑證,您可以手動刪除它們。
下面是轉的文章,也不知道是誰寫的.
在AD的日常管理中,有兩個概念容易弄錯,這裏提一下:
一)關於域控制器不可用時,使用本地緩存登陸的問題。
在 "本地計算機"策略--計算機配置--Windows 設置--安全設置---本地策略--安全選項中,存在如下設置項:
Interactive logon: Number of previous logons to cache (in case domain controller is not available) : 10 logons
這裏所指的10次,是10個用戶登陸。而不是一個用戶登陸的最大有效次數,一個用戶可登陸的次數理論上是無限的。如果要禁止此項設定,您可以把這個值設爲0。
Interactive logon: Number of previous logons to cache (in case domain controller is not available) : 10 logons
這裏所指的10次,是10個用戶登陸。而不是一個用戶登陸的最大有效次數,一個用戶可登陸的次數理論上是無限的。如果要禁止此項設定,您可以把這個值設爲0。
這些信息存在 HKEY_LOCAL_MACHINE\SECURITY\Cache 裏。其下設定10個子鍵,名稱從 NL$1-NL$10,每當一個帳戶登陸此計算機,其Profile被創建在 %HOMEDRIVE%\Documents and Settings 下,相應的帳戶信息和安全性描述被緩存下來,並在此鍵值中作出記錄。該鍵值中記錄已經登陸帳戶的名稱及其相關標識。
(注:默認情況下,管理員組對於 HKEY_LOCAL_MACHINE\SECURITY 子鍵沒有讀寫權限,您可以執行 regedt32.exe <windows 2000> 或者 regedit.exe <windowsXP> 添加對於該子鍵的讀權限。關於註冊表的描述和操作,請參考 Microsoft Windows 註冊表說明 )
值得注意的是,這裏所說的 10 個用戶帳戶,是指已經在本地登陸過的,也就是已經 cache 到本地了的帳戶,而不是任意的帳戶。如果沒有登陸過帳戶,由於在登陸的時候,需要查詢域控制器,那麼在交互式登陸下,系統立刻會提示當前域不可用。在加入域的計算機中,此策略的有效設定,最終取決於域策略的設定。
由於windows中此項機制的運作,此鍵值可以作爲***檢測的項目之一。
關於此設定描述,請參考 825805 "Interactive Logon: Number of Previous Logons to Cache" Help Topic
有趣的是,即便在Windows 2003 的隨機文檔中,關於此項的描述也是錯誤的,或許這個設定從字面上來理解,太容易讓人誤解了
BTW:也是在 HKEY_LOCAL_MACHINE\SECURITY\ 下,存在 SAM 的子鍵,不由讓人想起前段時間,網絡上很流行的 000001F4 000001F5 克隆 那個 F的方法
關於此設定描述,請參考 825805 "Interactive Logon: Number of Previous Logons to Cache" Help Topic
有趣的是,即便在Windows 2003 的隨機文檔中,關於此項的描述也是錯誤的,或許這個設定從字面上來理解,太容易讓人誤解了
BTW:也是在 HKEY_LOCAL_MACHINE\SECURITY\ 下,存在 SAM 的子鍵,不由讓人想起前段時間,網絡上很流行的 000001F4 000001F5 克隆 那個 F的方法
二)關於域帳戶將計算機加入域的問題
通過編輯default domain policy,計算機安全設定中,關於用戶權利指派的策略項目中,我們可以指定什麼用戶可以在網域中添加工作站。默認狀態下,在域控制器上經過身份驗證的用戶,有權限將計算機添加到域,這個動作可以使得該驗證帳戶域中最多可創建 10 個計算機帳戶。
此動作在域中添加計算機帳戶,允許計算機加入基於 Active Directory 的網絡。例如,在域中添加工作站後,該工作站能夠識別 Active Directory 中已有的帳戶和組。
這個10次的設置是可以更改的。以域管理員身份執行 adsiedit.msc (此工具存在於windows安裝光盤 Support\Tools 下的 support tools 中),展開 Domain NC 節點。選擇 "DC=" 的對象,右鍵點擊選擇屬性。在其屬性下拉列表中選擇 ms-DS-MachineAccountQuota 進行編輯,此設置項的數值決定了域驗證帳戶有權限加入計算機的數目。相關信息請參考:251335 Domain Users Cannot Join Workstation or Server to a Domain
但對於在 Active Directory Computers容器上有“創建計算機對象”權限的用戶,則不受此創建 10 個計算機帳戶的限制。在授權OU管理員管理計算機帳戶的時候,我們就可以這樣作,一方面在OU下作出委派的授權動作,同時可以在Computers容器上添加該帳戶創建計算機對象的權限,這樣此帳戶便可以自行添加計算機了 。
此動作在域中添加計算機帳戶,允許計算機加入基於 Active Directory 的網絡。例如,在域中添加工作站後,該工作站能夠識別 Active Directory 中已有的帳戶和組。
這個10次的設置是可以更改的。以域管理員身份執行 adsiedit.msc (此工具存在於windows安裝光盤 Support\Tools 下的 support tools 中),展開 Domain NC 節點。選擇 "DC=" 的對象,右鍵點擊選擇屬性。在其屬性下拉列表中選擇 ms-DS-MachineAccountQuota 進行編輯,此設置項的數值決定了域驗證帳戶有權限加入計算機的數目。相關信息請參考:251335 Domain Users Cannot Join Workstation or Server to a Domain
但對於在 Active Directory Computers容器上有“創建計算機對象”權限的用戶,則不受此創建 10 個計算機帳戶的限制。在授權OU管理員管理計算機帳戶的時候,我們就可以這樣作,一方面在OU下作出委派的授權動作,同時可以在Computers容器上添加該帳戶創建計算機對象的權限,這樣此帳戶便可以自行添加計算機了 。
另外,通過“域中添加工作站”的方式創建的計算機帳戶將“域管理員”看作該計算機帳戶所有者,而通過計算機容器權限方式創建的計算機帳戶則將創建者看作計算機帳戶的所有者。如果用戶既有容器的權限,又有“將工作站添加到域”的用戶權利,則將基於計算機容器權限而非用戶權利添加計算機。
登錄到本機的過程
1、用戶首先按Ctrl+Alt+Del組合鍵。
2、winlogon檢測到用戶按下SAS鍵,就調用GINA,由GINA顯示登錄對話框,以便用戶輸入帳號和密碼。
3、用戶輸入帳號和密碼,確定後,GINA把信息發送給LSA進行驗證。
4、在用戶登錄到本機的情況下,LSA會調用msv1_0.dll這個驗證程序包,將用戶信息處理後生成密鑰,同SAM數據庫中存儲的密鑰進行對比。
5、如果對比後發現用戶有效,SAM會將用戶的SID(Security Identifier——安全標識),用戶所屬用戶組的SID,和其他一些相關信息發送給LSA。
6、LSA將收到的SID信息創建安全訪問令牌,然後將令牌的句柄和登錄信息發送給winlogon.exe。
7、winlogon.exe對用戶登錄稍作處理後,完成了整個登錄過程。
登錄到域的過程
登錄到域的驗證過程,對於不同的驗證協議也有不同的驗證方法。如果域控制器是Windows NT 4.0,那麼使用的是NTLM驗證協議,其驗證過程和前面的“登錄到本機的過程”差不多,區別就在於驗證帳號的工作不是在本地SAM數據庫中進行,而是在域控制器中進行;而對於Windows2000和Windows2003域控制器來說,使用的一般爲更安全可*的Kerberos v5協議。通過這種協議登錄到域,要向域控制器證明自己的域帳號有效,用戶需先申請允許請求該域的TGS(Ticket-Granting Service——票據授予服務)。獲准之後,用戶就會爲所要登錄的計算機申請一個會話票據,最後還需申請允許進入那臺計算機的本地系統服務。
其過程如下:
1、用戶首先按Ctrl+Alt+Del組合鍵。
2、winlogon檢測到用戶按下SAS鍵,就調用GINA,由GINA顯示登錄對話框,以便用戶輸入帳號和密碼。
3、用戶選擇所要登錄的域和填寫帳號與密碼,確定後,GINA將用戶輸入的信息發送給LSA進行驗證。
4、在用戶登錄到本機的情況下,LSA將請求發送給Kerberos驗證程序包。通過散列算法,根據用戶信息生成一個密鑰,並將密鑰存儲在證書緩存區中。
5、Kerberos驗證程序向KDC(Key Distribution Center——密鑰分配中心)發送一個包含用戶身份信息和驗證預處理數據的驗證服務請求,其中包含用戶證書和散列算法加密時間的標記。
關於本地緩存登陸 和 域用戶將計算機加入域的問題及登錄過程- -
6、KDC接收到數據後,利用自己的密鑰對請求中的時間標記進行解密,通過解密的時間標記是否正確,就可以判斷用戶是否有效。
7、如果用戶有效,KDC將向用戶發送一個TGT(Ticket-Granting Ticket——票據授予票據)。該TGT(AS_REP)將用戶的密鑰進行解密,其中包含會話密鑰、該會話密鑰指向的用戶名稱、該票據的最大生命期以及其他一些可能需要的數據和設置等。用戶所申請的票據在KDC的密鑰中被加密,並附着在AS_REP中。在TGT的授權數據部分包含用戶帳號的SID以及該用戶所屬的全局組和通用組的SID。注意,返回到LSA的SID包含用戶的訪問令牌。票據的最大生命期是由域策略決定的。如果票據在活動的會話中超過期限,用戶就必須申請新的票據。
8、當用戶試圖訪問資源時,客戶系統使用TGT從域控制器上的Kerberos TGS請求服務票據(TGS_REQ)。然後TGS將服務票據(TGS_REP)發送給客戶。該服務票據是使用服務器的密鑰進行加密的。同時,SID被Kerberos服務從TGT複製到所有的Kerberos服務包含的子序列服務票據中。
9、客戶將票據直接提交到需要訪問的網絡服務上,通過服務票據就能證明用戶的標識和針對該服務的權限,以及服務對應用戶的標識。
1、用戶首先按Ctrl+Alt+Del組合鍵。
2、winlogon檢測到用戶按下SAS鍵,就調用GINA,由GINA顯示登錄對話框,以便用戶輸入帳號和密碼。
3、用戶輸入帳號和密碼,確定後,GINA把信息發送給LSA進行驗證。
4、在用戶登錄到本機的情況下,LSA會調用msv1_0.dll這個驗證程序包,將用戶信息處理後生成密鑰,同SAM數據庫中存儲的密鑰進行對比。
5、如果對比後發現用戶有效,SAM會將用戶的SID(Security Identifier——安全標識),用戶所屬用戶組的SID,和其他一些相關信息發送給LSA。
6、LSA將收到的SID信息創建安全訪問令牌,然後將令牌的句柄和登錄信息發送給winlogon.exe。
7、winlogon.exe對用戶登錄稍作處理後,完成了整個登錄過程。
登錄到域的過程
登錄到域的驗證過程,對於不同的驗證協議也有不同的驗證方法。如果域控制器是Windows NT 4.0,那麼使用的是NTLM驗證協議,其驗證過程和前面的“登錄到本機的過程”差不多,區別就在於驗證帳號的工作不是在本地SAM數據庫中進行,而是在域控制器中進行;而對於Windows2000和Windows2003域控制器來說,使用的一般爲更安全可*的Kerberos v5協議。通過這種協議登錄到域,要向域控制器證明自己的域帳號有效,用戶需先申請允許請求該域的TGS(Ticket-Granting Service——票據授予服務)。獲准之後,用戶就會爲所要登錄的計算機申請一個會話票據,最後還需申請允許進入那臺計算機的本地系統服務。
其過程如下:
1、用戶首先按Ctrl+Alt+Del組合鍵。
2、winlogon檢測到用戶按下SAS鍵,就調用GINA,由GINA顯示登錄對話框,以便用戶輸入帳號和密碼。
3、用戶選擇所要登錄的域和填寫帳號與密碼,確定後,GINA將用戶輸入的信息發送給LSA進行驗證。
4、在用戶登錄到本機的情況下,LSA將請求發送給Kerberos驗證程序包。通過散列算法,根據用戶信息生成一個密鑰,並將密鑰存儲在證書緩存區中。
5、Kerberos驗證程序向KDC(Key Distribution Center——密鑰分配中心)發送一個包含用戶身份信息和驗證預處理數據的驗證服務請求,其中包含用戶證書和散列算法加密時間的標記。
關於本地緩存登陸 和 域用戶將計算機加入域的問題及登錄過程- -
6、KDC接收到數據後,利用自己的密鑰對請求中的時間標記進行解密,通過解密的時間標記是否正確,就可以判斷用戶是否有效。
7、如果用戶有效,KDC將向用戶發送一個TGT(Ticket-Granting Ticket——票據授予票據)。該TGT(AS_REP)將用戶的密鑰進行解密,其中包含會話密鑰、該會話密鑰指向的用戶名稱、該票據的最大生命期以及其他一些可能需要的數據和設置等。用戶所申請的票據在KDC的密鑰中被加密,並附着在AS_REP中。在TGT的授權數據部分包含用戶帳號的SID以及該用戶所屬的全局組和通用組的SID。注意,返回到LSA的SID包含用戶的訪問令牌。票據的最大生命期是由域策略決定的。如果票據在活動的會話中超過期限,用戶就必須申請新的票據。
8、當用戶試圖訪問資源時,客戶系統使用TGT從域控制器上的Kerberos TGS請求服務票據(TGS_REQ)。然後TGS將服務票據(TGS_REP)發送給客戶。該服務票據是使用服務器的密鑰進行加密的。同時,SID被Kerberos服務從TGT複製到所有的Kerberos服務包含的子序列服務票據中。
9、客戶將票據直接提交到需要訪問的網絡服務上,通過服務票據就能證明用戶的標識和針對該服務的權限,以及服務對應用戶的標識。