Как очистить учетные данные кэшированного домена?
Связанный: Как я могу включить аутентификацию домена по беспроводной сети в Windows 7 / 2k8?
Чтобы протестировать вход в домен через функцию беспроводного подключения, которую я пытаюсь настроить в приведенном выше вопросе, мне нужна учетная запись, учетные данные которой не были кэшированы в локальной системе. К сожалению, в моем офисе очень много людей, которые могут помочь мне проверить это, и даже в этом случае я бы не стал их беспокоить. Итак, я хотел бы иметь возможность очищать свои кэшированные учетные данные после каждого входа в систему.
Как очистить локальный кеш, сохранив при этом возможность кэширования учетных данных в будущем?
Ответ Дэвида Ю в значительной степени соответствует требованиям, но есть способ сделать это, не редактируя реестр напрямую. Опять же, это будет работать, только если параметр не настроен GPO.
Во-первых, я хотел бы указать, где хранятся кешированные учетные данные. Это поможет продемонстрировать (и, в целях устранения неполадок, проверить) влияние изменений конфигурации.
ПРЕДУПРЕЖДЕНИЕ: Я нашел эту информацию в нескольких местах в Интернете, большинство из которых рекомендовали против изменение этих значений вручную.
Раздел реестра, в котором хранятся кэшированные учетные записи домена, скрыт даже от администраторов. Он доступен только из учетной записи SYSTEM. Поэтому для его просмотра вам понадобится такой инструмент, как psexec (доступен от Microsoft, но не установлен по умолчанию), который позволит вам запустить regedit как СИСТЕМА. Командная строка для этого (при условии, что она установлена и в вашем %PATH%) является:
psexec -d -i -s regedit
Как только вы окажетесь там, перейдите к HKLM\SECURITY\Cache\. Здесь вы должны увидеть несколько ДВОИЧНЫХ значений. Будет один с именем NL $ Control и другие с именем NL $ ## для каждого слота, доступного для кэшированных учетных данных. (По умолчанию 10)
Опять же, я хочу подчеркнуть, что вам не следует вручную изменять или удалять этот ключ или его значения.
Итак, теперь, когда мы знаем, где хранятся данные, и что мы не следует трогать это там, как нам это очистить?
Очередной раз, Ответ Дэвида Ю укажет вам на правильный раздел реестра. Но если вы не хотите напрямую изменять реестр, есть другой способ сделать это с помощью локальной политики безопасности.
secpol.msc
В дереве настроек безопасности перейдите к Local Policies\Security Options. Здесь будет политика под названием Interactive logon: Number of previous logons to cache (in case domain controller is not available).
По умолчанию это установлено на 10 logons. Чтобы очистить кеш, установите его на ноль и нажмите ОК. В Server 2008 это вступит в силу немедленно. Для Server 2003 вам потребуется перезагрузка. Эффект можно увидеть в HKLM\SECURITY\Cache\ где больше не будет никаких значений NL $ ##.
Чтобы снова включить кэширование учетных данных, отредактируйте ту же Политику, чтобы она отражала предпочтительное значение, и нажмите OK. Опять же, если вы используете Server 2008, это вступит в силу немедленно. Server 2003 потребует перезагрузки. Обратите внимание: если вы делаете это на Server 2008 и еще не вышли из системы или не перезагрузились, вы можете увидеть, что слоты кэша были восстановлены, но в них нет реальных данных.
Выполнение этого без выхода из системы или перезагрузки в Server 2008 может быть полезно, если вы хотите просто выполнить быструю разовую проверку любой функции, требующей временно отключенного кэширования учетных данных. Это также помогает убедиться, что вы не забудете отменить изменение после следующего входа в систему.
Вы можете изменить реестр системы, чтобы отключить кэшированные учетные данные для входа. Установите для ключа реестра значение 0. Это потребует перезагрузки после каждого изменения. Это также предполагает, что у вас нет объекта групповой политики, который задает этот ключ.
HKEY_LOCAL_MACHINE \ Программное обеспечение \ Microsoft \ Windows NT \ Текущая версия \ Winlogon \
ValueName: CachedLogonsCount
Тип данных: REG_SZ
Значения: 0-50
Способ изменить сохраненные кэшированные учетные данные (как ни странно) путем изменения параметров безопасности \ Интерактивный вход: количество предыдущих входов в систему для кэширования политики через редактор групповой политики (gpedit)
Мне удалось очистить все сохраненные пароли, установив для всех записей NL $ то же самое, что и предыдущая (последние несколько записей NL $ были такими же, поэтому похоже, что они просто заполнители). Я тестировал это на 64-битных компьютерах с Windows 7 PRO, больше ни на чем не тестировал.
Просто скопируйте приведенное ниже в блокнот и сохраните его как .reg, затем запустите
regedit / s yourfilename.reg
как системный аккаунт.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SECURITY\Cache]
"NL$1"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$2"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$3"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$4"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$5"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$6"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$7"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$8"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$9"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$10"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
Самый удобный способ удалить сохраненные учетные данные - запустить MSTSC и ввести имя или IP-адрес кэшированного терминального сервера. Если он был кэширован как полное доменное имя, это то, что вы должны ввести, он, скорее всего, заполнит поле для вас, а также ваш домен \ имя пользователя. Затем щелкните Параметры. Если учетные данные сохранены, вы можете изменить или удалить их.
Чтобы система не кэшировала учетные данные, отредактируйте файл RDP с помощью блокнота и измените параметр PromptCredentialOnce: i: 1 на PromptCredentialOnce: i: 0