问题描述
与计算机配置>> Windows设置>>安全设置>>本地策略>>安全选项相关的以下设置如何:
- 交互式登录:以前要缓存的登录数(如果域控制器不可用)
-
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedlogonsCount
确定用户是否可以使用缓存的帐户信息登录Windows域
- 网络访问:不允许存储用于网络身份验证的密码和凭据
-
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\disableDomainCreds
确定凭据管理器是否在获取域身份验证时保存密码和凭据以供以后使用
CachedlogonsCount是更精细的策略,disableDomainCreds与将CachedlogonsCount设置为0一样吗?
解决方法
CachedLogonsCount 控制在本地缓存多少以前的本地登录,以便用户可以在域控制器不可用的情况下登录到计算机。非常重要的区别:Windows 不缓存实际凭据,仅缓存用于验证密码的哈希。这意味着即使泄露存储的信息也无法访问任何域凭据。 Reference。
DisableDomainCreds 控制是否兑现实际凭据,以便用户在会话期间无需重新验证即可访问域资源。如果您启用此策略,则用户每次访问网络资源时都将被迫重新输入密码,例如网络共享。此功能存储实际凭据。 Reference。
两个回答你的问题:不,这是两种不同的机制,具有不同的目标。
