web-dev-qa-db-fra.com

Comment puis-je effacer les informations d'identification du domaine mis en cache?

Associé: Comment puis-je activer l'authentification de domaine sur le sans fil dans Windows 7/2K8?

Pour tester le domaine Connexion sur la fonction de connexion sans fil, j'essaie de mettre en place dans la question ci-dessus, j'ai besoin d'un compte qui n'a pas eu ses informations d'identification de domaine mis en cache sur le système local. Malheureusement, il n'y a que tant de gens de mon bureau qui pourraient m'aider à tester cela, et même alors je préfère ne pas les déranger pour cela. Donc, j'aimerais pouvoir effacer mes propres références en cache après chaque connexion.

Comment puis-je effacer le cache local, tout en conservant la capacité de cache des informations d'identification à l'avenir?

11
Iszi

La réponse de David Y est à peu près sur la cible, mais il existe un moyen de le faire sans modifier directement le registre. Encore une fois, cela ne fonctionnera que si le paramètre n'est pas configuré par GPO.

Tout d'abord, j'aimerais souligner l'endroit où les données d'identification mises en cache sont stockées. Cela aidera à démontrer (et, à des fins de dépannage, vérifiez) l'effet des modifications de la configuration.

AVERTISSEMENT: J'ai trouvé ces informations à plusieurs endroits sur Internet, la plupart recommandées contre Modification de ces valeurs manuellement.

La clé de registre qui stocke les connexions de domaine mis en cache est cachée, même des administrateurs. Il n'est accessible que par le compte système. Par conséquent, pour la voir, vous aurez besoin d'un outil comme psexec (disponible à partir de Microsoft, mais non installé par défaut) qui vous permettra d'exécuter regedit comme système. La ligne de commande pour le faire (en supposant qu'il est installé, et dans votre %PATH%) Est:

psexec -d -i -s regedit

Une fois que vous êtes là, accédez à HKLM\SECURITY\Cache\. Ici, vous devriez voir plusieurs valeurs binaires. Il y aura une commande nommée NL $, et d'autres nommées NL $ ## pour chaque emplacement que vous avez disponible pour les informations d'identification en cache. (10 défaut)

HKLM\SECURITY\Cache on Server 2003

Encore une fois, je tiens à souligner ici que vous ne devez pas modifier ou supprimer manuellement cette clé ou ses valeurs.

Donc, maintenant que nous savons où les données sont mises en cache et que nous ne doit pas le toucher là-bas, comment le transparent-t-il?

Encore une fois, Réponse de David Y vous pointera de la clé de registre de droite. Mais, si vous préférez ne pas modifier directement le registre, il existe une autre façon de le faire via la politique de sécurité locale.

secpol.msc

Dans l'arborescence des paramètres de sécurité, accédez à Local Policies\Security Options. Voici une politique appelée Interactive logon: Number of previous logons to cache (in case domain controller is not available).

Local Security Policy on Server 2003

Par défaut, ceci est défini sur 10 logons. Pour effacer le cache, réglez-le à zéro et cliquez sur OK. Sur le serveur 2008, cela prendra effet immédiatement. Pour Server 2003, vous devrez redémarrer. L'affect peut être vu dans HKLM\SECURITY\Cache\ Où il n'y aura plus de valeurs NL $ ##.

Cleared credential cache on Server 2003

Pour réactiver la mise en cache des informations d'identification, modifiez la même stratégie pour refléter votre valeur préférée et cliquez sur OK. Encore une fois, si vous êtes sur Server 2008, cela prendra effet immédiatement. Server 2003 nécessitera un redémarrage. Notez que, si vous le faites sur Server 2008 et que vous n'avez pas encore été enregistré ni redémarré, vous pouvez voir que les emplacements de cache ont été restaurés mais aucune donnée réelle n'est entre elles.

Empty credential cache slots on Server 2008

Faire cela sans déconnexion ou redémarrage dans Server 2008 peut être utile si vous souhaitez simplement effectuer une vérification rapide et unique de la fonction requiert une mise en cache de réfort temporairement handicapée. Cela aide également à vous assurer que vous n'oubliez pas de rétablir le changement après votre prochaine connexion.

10
Iszi

Vous pouvez modifier le registre du système pour désactiver les informations d'identification de la connexion en cache. Définissez la clé de registre sur 0. Cela nécessitera un redémarrage après chaque modification. Cela suppose également que vous n'avez pas de GPO qui définit cette clé.

HKEY_LOCAL_MACHINE\LOGICIEL\Microsoft\Windows NT\Version actuelle\WinLogon \

Nom de valeur: CachedlogonsCount

Type de données: REG_SZ

Valeurs: 0 - 50

6
David Yu

Le moyen de modifier les informations d'identification mises en cache stockées est (bizarrement) en modifiant les options de sécurité\Interactive Logon: Nombre de connecteurs précédents à la stratégie de cache via Editeur de stratégie de groupe (GPEDIT)

2
Jim B