Можно ли хранить кэшированные учетные данные для входа на сервер терминалов, позволяя пользователям входить в систему, если контроллер домена недоступен?
Если возможно, вы можете установить ограничение по времени? Например. Аутентификация DC потребуется через X дней.
Терминальный сервер: Windows Server 2008 R2 Std.
Windows уже хранит «средства проверки паролей», более известные как «кэшированные учетные данные», для пользователей, когда они входят в систему. По умолчанию в нем будет храниться около 10 из них, а это означает, что одиннадцатый пользователь, войдя в систему, перезапишет кэшированные учетные данные первого пользователя, который вошел в систему, и так далее. Этот номер легко изменить с помощью групповой политики или локальной политики. (0 - 50.)
http://technet.microsoft.com/en-us/library/jj852209.aspx
Кэшированные учетные данные в Windows на самом деле больше похожи на «верификаторы паролей» или «аутентификаторы», потому что они на самом деле являются «хешем хэша», а не самим фактическим паролем пользователя или даже его прямым хешем. Вы не можете передать эти "кэшированные учетные данные" другой службе в сценарии типа Pass-The-Hash ... хотя наивно думать, что существует нет рисковать при хранении этих верификаторов учетных данных.
Если возможно, можете ли вы установить ограничение по времени? Например. Аутентификация DC потребуется через X дней.
Нет, Windows изначально не делает этого. Я полагаю, однако, что если бы вы были достаточно преданными, вы могли бы написать приложение или сценарий, который бы очищал кешированные учетные данные, которые были старше определенного количества дней.