Задать вопрос
@Greisvandir
сисадмин

Возможно ли централизованно принудительное кэширование доменных паролей Windows на машинах пользователей?

Суть: многие пользователи на время пандемии забирают рабочие компьютеры домой.
При возникновении проблемы с vpn и соответственно потере связи с DC, на данной машине можно что-либо сделать только имея кэшированный админский пароль (с локальным админом не всё возможно).

Так вот вопрос в том, можно ли сделать кэш всех или некоторых админских паролей на локальных машинах централизованно, средствами AD, PS или другими.

Альтернативное решение тоже будет к месту.

Заранее благодарен за ответы. Надеюсь не очень потревожил бога БАЯНА.
  • Вопрос задан
  • 482 просмотра
Подписаться 3 Средний 6 комментариев
Пригласить эксперта
Ответы на вопрос 2
@rPman
попробуй с машины, где уже есть закешированный вход, скопировать ключ реестра HKLM/SECURITY/Cache/NL$xxxx

ну и почти первая же ссылка в гугле на dump domain cached credential
Ответ написан
Комментировать
@fpir
За кэширование паролей отвечает политика "Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)", значение, несмотря на описание, это количество последних пользователей домена, которые входили на эту машину. Т.к. на конкретную машину входят, обычно, 1-2 пользователя и админ(в другом случае, несколько админов), то значение 3-5 гарантированно добавит в кэш доменных админов(если они вообще когда-либо заходили на данную машину). Т.е., чтоб подключится к конторскому компу у пользователя дома - задайте политику(по умолчанию, вроде, 5), скажем, 10, зайдите под своей учёткой и отдайте комп.
Или я чего-то не понял?
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы