web-dev-qa-db-ja.com

マシンがドメインに再接続しない場合、キャッシュされたドメイン資格情報は機能し続けますか?

私はこれを徹底的に調査しましたが、探している答えが見つかりません。

私が最近去った会社は破産している。彼らはすでに、ドメインコントローラーであったサーバーを含むほとんどのIT機器を競売にかけています。ただし、クライアントワークステーションはまだオフィスにセットアップされています。これらのコンピューターにはネットワークアクセスがなく、ドメインコントローラーに到達できませんが、ドメインに属します。ローカル管理者アカウント以外に設定されているローカルアカウントはなく、パスワードもわかりません。彼らはまだログインしてローカルファイルやクイックブックなどにアクセスできるかどうかを知りたがっています...

誰かが最後にキャッシュされたドメイン資格情報を使用してログインできますか?もしそうなら、それらの資格情報が機能し続ける期間に制限はありますか?

クライアントワークステーションは、Windows 7ProまたはWindows8.1Proを実行しています。かつてそこにあったサーバーはActiveDirectory 2008を実行していましたが、それが重要かどうかはわかりません。

助けてくれてありがとう。

windows-server-2008active-directorydomain-controller
2
Alex Chance

私の経験は他の人が言ったことと同じです-あなたがキャッシュされた資格情報を持つPCを持っていて、それがドメインコントローラーに接続できない場合、それらの資格情報は期限切れになりません。

だが...

例外は、セキュリティポリシーを 資格情報のキャッシュを無効化または制限するように設定した場合です。 デフォルトでは、10セットの資格情報がキャッシュされますが、これは上書きされる可能性があります。 。 0に設定されている場合、キャッシュされた資格情報を使用できません。または、低い#に設定されている場合(例: 2の場合、ログインする最後の2つのアカウントのみが資格情報をキャッシュします。

また、コメントの1つにあるように、この会社にサポートを提供する人は、多くのツールまたはチュートリアルの1つを使用して、既知のパスワードでローカル管理者アカウントを作成する必要があります。デフォルトでは、管理者アカウントはセーフモードでのみアクセス可能であり、空白であるため、まだ行っていない場合はそれを試すことができます(ただし、Win8でセーフモードにするには、独自のチュートリアルが必要です...)。

4
Ward - Reinstate Monica

Q:誰かが最後にキャッシュされたドメイン資格情報を使用してログインできますか?

A:はい。

Q:その場合、それらの資格情報が機能し続ける期間に制限はありますか?

A:私が知っていることではありません。

0
joeqwerty

キャッシュされた資格情報がしばらくすると削除されるかどうかはわかりません(そして私はそうは思いません)。

問題はマシンアカウントのパスワードです。これは、コンピューターがドメインコントローラーに接続するときに定期的に更新されます。このパスワードが30日以上変更されなかった場合(デフォルト値)、ドメインアカウントは(キャッシュされた資格情報があっても)ログインできません。

パスワードの最大有効期間を変更できます。 GPO経由:Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

私が読んだ限りでは、あなたがそこに置くことができる最大は999日です。

ここでマシンアカウントのパスワードについてもっと読むことができます。

0
Tobias

windows7および8PCの場合、このツールを使用してローカル管理者パスワードを変更または削除できます。これにより、PCにログインして、必要な操作を実行できます。 http://pogostick.net/~pnh/ntpasswd/ わからないサーバーの場合、ADサーバーにはリセット/変更できるローカル管理者アカウントがないことがわかります。

0
arana