Як я можу очистити кешовані облікові дані домену?

11

Пов’язано: Як я можу ввімкнути автентифікацію домену через бездротовий зв’язок у Windows 7 / 2k8?

Щоб перевірити функцію входу домену через функцію бездротового з'єднання, яку я намагаюся налаштувати у вищезазначеному питанні, мені потрібен обліковий запис, у якому не зберігалися кешовані дані домену в локальній системі. На жаль, у моєму кабінеті є лише стільки людей, які могли б допомогти мені перевірити це, і навіть тоді я не хочу за це їх турбувати. Отже, я хотів би мати змогу очистити власні кешовані дані після кожного входу.

Як я можу очистити локальний кеш, зберігаючи можливість кешування облікових даних у майбутньому?

windows-server-2008  active-directory  windows-7  authentication 
Ісі
джерело

Відповіді:

10

Відповідь Девіда Ю в значній мірі цільова, але є спосіб це зробити без редагування реєстру безпосередньо. Знову ж таки, це буде працювати лише в тому випадку, якщо налаштування не налаштоване GPO.

По-перше, я хотів би зазначити, де зберігаються кешовані дані облікових даних. Це допоможе продемонструвати (і для усунення несправностей перевірити) ефект змін у конфігурації.

ПОПЕРЕДЖЕННЯ. Цю інформацію я знайшов у кількох місцях в Інтернеті, більшість з яких рекомендував не змінювати ці значення вручну.

Ключ реєстру, який зберігає кешовані входи домену, ховається навіть від адміністраторів. Доступ до нього можна отримати лише за допомогою облікового запису SYSTEM. Тому для його перегляду вам знадобиться такий інструмент, як psexec(доступний від Microsoft, але не встановлений за замовчуванням), який дозволить вам запустити систему regeditSYSTEM. Командний рядок для цього (якщо він встановлений і у вашому %PATH%):

psexec -d -i -s regedit

Як тільки ви там, перейдіть до HKLM\SECURITY\Cache\. Тут ви повинні побачити декілька БІНАРИХ значень. Буде один з назвою NL $ Control, а інші з іменем NL $ ## для кожного слота, який у вас є для кешованих облікових даних. (За замовчуванням 10)

HKLM \ SECURITY \ Кеш на сервері 2003 року

Ще раз хочу наголосити, що не слід вручну змінювати або видаляти цей ключ або його значення.

Отже, тепер, коли ми знаємо, куди кешуються дані, і ми не повинні їх торкатися там , як ми їх очистимо?

Знову ж таки, відповідь Девіда Ю вкаже на правильний ключ реєстру. Але, якщо ви не бажаєте безпосередньо змінювати реєстр, є інший спосіб зробити це через локальну політику безпеки.

secpol.msc

У дереві налаштувань безпеки перейдіть до Local Policies\Security Options. Тут буде названа політика Interactive logon: Number of previous logons to cache (in case domain controller is not available).

Локальна політика безпеки на сервері 2003 року

За замовчуванням це встановлено на 10 logons. Щоб очистити кеш, встановіть його на нуль і натисніть кнопку ОК. На сервері 2008 це набере чинності негайно. Для сервера 2003 вам потрібно перезавантажити. Вплив можна побачити HKLM\SECURITY\Cache\там, де більше не буде значень NL $ ##.

Очищений кеш облікових даних на сервері 2003

Щоб знову ввімкнути кешування даних, відредагуйте ту саму Політику, щоб вона відображала бажане значення, і натисніть ОК. Знову ж таки, якщо ви перебуваєте на сервері 2008, це набере чинності негайно. Сервер 2003 вимагатиме перезавантаження. Зауважте, що якщо ви робите це на сервері 2008 і ще не вийшли з системи чи перезавантажилися, ви можете побачити, що слоти кешу відновлені, але фактичних даних у них немає.

Порожні слоти кеша облікових даних на сервері 2008

Робити це без виходу з системи або перезавантаження на сервері Server 2008 може бути корисним, якщо ви хочете зробити швидку одноразову перевірку будь-якої функції, яка вимагає тимчасово відключеного кешування облікових даних. Це також допомагає гарантувати, що ви не забудете відновити зміни після наступного входу.

Ісі
джерело
6

Ви можете змінити реєстр системи, щоб відключити кешовані вхідні дані. Встановіть ключ реєстру на 0. Це потребує перезавантаження після кожної зміни. Це також передбачає, що у вас немає групової групи, яка встановлює цей ключ.

HKEY_LOCAL_MACHINE \ Програмне забезпечення \ Microsoft \ Windows NT \ Поточна версія \ Winlogon \

ValueName: CachedLogonsCount

Тип даних: REG_SZ

Значення: 0 - 50

Девід Ю
джерело
Майте на увазі, що цю зміну потрібно буде повернути пізніше, якщо ви хочете зберегти кешування облікових даних після тестування. Повернення зміни не відновить старі кешовані облікові дані, але це дозволить кешувати нові логотипи.
Ізі
Я боюся, що відповідь Девіда - це найкраще, що ти можеш отримати. Здається, не існує способу "очистити" кешовані логотипи домену для одного користувача, крім відключення їх, встановивши значення цього реєстру на 0.
Yanick Girouard
@YanickGirouard Існує простіший спосіб, який не вимагає перезавантаження або редагування необробленого реєстру - принаймні, не на сервері 2k8. Я вже зрозумів це до моменту опублікування цього питання, але подумав, що дам трохи часу, щоб хтось ще його опублікував. Якщо ніхто інший цього не зробив, я, мабуть, опублікую свою відповідь пізніше сьогодні.
Ізі
Будь ласка, опублікуйте свою відповідь і прийміть її, як тільки зможете. Ось для чого ці форуми: обмін знаннями! Дякую :)
Янік Жируард
@YanickGirouard Ось чому я опублікував цю тему, щоб знаннями можна було поділитися. Мені теж подобається поділитися представником, якщо хтось захоче скористатися можливістю. Зараз я збираю скріншоти для своєї відповіді.
Ізі
2

Спосіб зміни збережених даних кешу - це (як не дивно) шляхом зміни параметрів безпеки \ Інтерактивний вхід: Кількість попередніх входів для кешування політики через редактор групової політики (gpedit)

Джим Б
джерело
-1

Я зміг очистити всі збережені паролі, встановивши всі записи NL $ так само, як і останній (останні декілька записів NL $ були однаковими, тому схоже, що вони просто заповнювачі). Я тестував це на комп’ютерах Windows 7 PRO 64bit, я ще не тестував його ні на чому іншому.

Просто скопіюйте нижче в блокнот і збережіть його як .reg, а потім запустіть

regedit / s yourfilename.reg

як системний рахунок.

 Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SECURITY\Cache]
"NL$1"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$2"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$3"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$4"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$5"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$6"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$7"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$8"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$9"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$10"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
Грег
джерело
1
Ваше припущення про "останні кілька NL $" недійсне, якщо ви не провели ретельне тестування. Більш ймовірно, що у вас просто не було 10 або більше (або все, що встановлено обмеження кешу) користувачі входять у систему з моменту останнього очищення кеша. Це означає, що якщо ви справді відчуваєте достатньо пригод, щоб змінити ці значення "вручну", ви можете написати досить простий скрипт із PowerShell, щоб обробити його (звичайно, як SYSTEM), а не великий файл .reg, який ви хочете. потрібно вручну регулювати залежно від конфігурації системи.
Іссі
-2

Найпростіший спосіб видалення збережених облікових даних - це запустити MSTSC і ввести ім'я або IP-адресу термінального сервера, який кешується. Якщо він був кешований як повноцінне доменне ім’я, саме це ви повинні ввести, воно, ймовірно, заповнить поле для вас, а також ваш домен \ ім'я користувача. Потім натисніть Опції. Якщо облікові дані зберігаються, ви можете їх редагувати або видаляти.

Щоб система не кешувала облікові дані, відредагуйте файл RDP у блокноті та змініть параметр PromptCredentialOnce: i: 1 на PromptCredentialOnce: i: 0

Джим Фієзер
джерело
Це видаляє "пам'ять" облікових даних клієнта RDP, але це не очищає кеш із цільової системи.
Іссі
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.