Авторизация пользователей при отключенном домене

@Буджака · Регистрация: 02.03.2013

Студворк — интернет-сервис помощи студентам

Добрый день, товарищи и коллеги.
Возникла задача, пытаюсь найти необходимую информацию, пока безуспешно.
1.Итак, есть сервер AD DS, с учетными записями, и клиентский компьютер в данном домене.
2.Я авторизуюсь под доменной учетной записью с клиентского компьютера.
3.Я отключаю данный компьютер от сети.
После чего, смогу авторизоваться под этой же доменной учеткой (при условии что ранее хоть раз это делал) с клиентского компьютера.
Вопрос - как это происходит, и какие механизмы за это отвечают? Как долго я смогу авторизовываться при отключенном контролере домена? Я так понимаю, что учетные данные как то кэшируются на клиентской машине? В какую сторону смотреть для понимания?
Итоговая задача - хочу каким либо способом кэшировать одну учетную запись на 100 компьютерах. Можно конечно руками авторизоваться один раз на каждой станции под нужной учеткой, но это не решение вопроса, хотелось бы понять сам механизм.
Как задать гуглу правильный вопрос?
Заранее спасибо за любую информацию.

@sys.tim · 05.04.2017, 12:43

Система хранит хэш пароля пользователя, модифицированный при помощи т.н. "соли", которая, в свою очередь генерируется на основе имени пользователя. Хранится все это великолепие в реестре: HKLM\SECURITY\Cache, но доступ к этой ветке есть только у системы.
За возможность кэширования отвечает параметр CashedLogonsCount, расположенный тут - HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Этот параметр задает количество уникальных пользователей, чьи учетные данные будут хранится в кэше. По умолчанию равен 10.
Судя по информации из интернетов, кэш хранится бессрочно.

@Буджака · 05.04.2017, 18:13 **[ТС]**

Сообщение от sys.tim

Судя по информации из интернетов, кэш хранится бессрочно.

Благодарю за информацию, так же перелопатил половину MSDN, найдена схожая инфа.
Однако вопрос, о том, как "принудительно закэшировать" учетные данные по всей сети, пока еще открыт.
Из того, что приходит на ум - скриптами делать RDP коннект, но по моему как то безобразно.

HotBeer · 05.04.2017, 18:59

Сообщение от Буджака

я смогу авторизовываться при отключенном контролере домена?

Сколько угодно.

А как это сделать на сотни ПК, для меня так же остается вопросом...

Добавлено через 2 минуты

Сообщение от Буджака

я смогу авторизовываться при отключенном контролере домена?

Сколько угодно.

А как это сделать на сотни ПК, для меня так же остается вопросом...

Сообщение от Буджака

как "принудительно закэшировать" учетные данные по всей сети, пока еще открыт.

Тем более сохранения кеша и формирование новой папки документс_сетинг, происходит при первой авторизации.

@Буджака · 06.04.2017, 09:19 **[ТС]**

Сообщение от HotBeer

А как это сделать на сотни ПК, для меня так же остается вопросом...

Тем не менее, сделать это можно. Когда был региональным админом, наблюдал, как в течении получаса в моем сегменте сети(~1к машин) на всех ПК появился профиль одного из админов центрального офиса.
Подозреваю, что это побочный эффект использования каких либо утилит (т.к. штатных средств в AD не нашел)

@sys.tim · 06.04.2017, 14:32

Сообщение от Буджака

в течении получаса в моем сегменте сети(~1к машин) на всех ПК появился профиль одного из админов центрального офиса.

скопировать на целевые машины профиль пользователя - это одно. Но я очень сильно сомневаюсь, что админ, чей профиль появился на машинах, смог бы залогиниться с доменной учеткой на отключенный от сети комп.

Сейчас попробовал дать разрешение на чтение той ветки реестра, где хранится кэш - прокатило

Авторизация пользователей при отключенном домене

Полагаю, что и на запись можно дать. С другой стороны, если я не ошибаюсь, всяческие логон-скрипты исполняются от имени системы, т.е. если повесить на логон скрипт, записывающий в эту ветку, он должен отработать. Можно попробовать сделать скриптом импорт в реестр - вдруг да прокатит )

Даже не на логон, а на стартап ПК. Чтобы от логина пользователя не зависело.

@Буджака · 06.04.2017, 16:33 **[ТС]**

Сообщение от sys.tim

скопировать на целевые машины профиль пользователя - это одно. Но я очень сильно сомневаюсь, что админ, чей профиль появился на машинах, смог бы залогиниться с доменной учеткой на отключенный от сети комп.

Так включены были. Я подозреваю, что юзали какую либо утилиту, для удаленного выполнения команд.
Сегодня попробую найти нужную запись в кэше, и произвести импорт на удаленную станцию.

HotBeer · 06.04.2017, 20:04

Буджака, жду результата, редко, когда то действительно интересное на не профильных форумах появляется

@Буджака · 10.04.2017, 12:46 **[ТС]**

Сообщение от HotBeer

Буджака, жду результата

Увы, импорт HKLM\SECURITY\Cache результата не дает : "Отсутствуют серверы которые могли бы обработать запрос".
Даже если снять этот куст на этой же машине, суспрепнуть ее, и импортировать.
Видимо дело не только в кусте.
Копаем дальше :-)

@Буджака · 29.06.2017, 12:11 **[ТС]**

Сообщение от HotBeer

Буджака, жду результата, редко, когда то действительно интересное на не профильных форумах появляется

Ну собственно изыскания завершены.

Решение почти без костылей, всего с одним велосипедом.
Случайно было замечено то, что побочным эффектом от удаленного выполнения любой команды с помощью PsExec является как раз кэширование нужного юзера, и создание его профиля по всем правилам.
То есть в итоге, нужно попросить PsExec выполнить любую команду на удаленном ПК от имени нужного доменного пользователя.
Итак в сетке на 100 машин, достаточно сделать :

Bash
1
for /L %x in (1,1,100) do psexec \\10.128.0.%x -u ms\user -p pass -d ipconfig /flushdns

И готово, на всех машинах создается профиль user из домена ms. Можно выключить эту машину от сети, и попробовать авторизоваться - пускает.
Тему можно закрывать, благодарю за участие.

@sys.tim · 29.06.2017, 12:53

Буджака, а ведь действительно) Спасибо, что не забыли про тему и написали решение - можно будет взять на вооружение

volodin661 · 29.06.2017, 17:03

можно и покороче для всех машин текущей подсети:

Windows Batch file
1
PSEXEC  \\* -u ms\user -p pass -d ipconfig /flushdns

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Desktop (MinGW): Создаём пустое окно с нуля для 2D-графики на SDL3, Си и C++ 8Observer8 10.03.2026 Содержание блога Финальные проекты на Си и на C++: hello-sdl3-c. zip hello-sdl3-cpp. zip Результат:	Установка CMake и MinGW 13.1 для сборки С и C++ приложений из консоли и из Qt Creator в EXE 8Observer8 10.03.2026 Содержание блога MinGW - это коллекция инструментов для сборки приложений в EXE. CMake - это система сборки приложений. Здесь описаны базовые шаги для старта программирования с помощью CMake и. . .	Как дизайн сайта влияет на конверсию: 7 решений, которые реально повышают заявки Neotwalker 08.03.2026 Многие до сих пор воспринимают дизайн сайта как “красивую оболочку”. На практике всё иначе: дизайн напрямую влияет на то, оставит человек заявку или уйдёт через несколько секунд. Даже если у вас. . .	Модульная разработка через nuget packages DevAlt 07.03.2026 Сложившийся в . Net-среде способ разработки чаще всего предполагает монорепозиторий в котором находятся все исходники. При создании нового решения, мы просто добавляем нужные проекты и имеем. . .
Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .	SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .	SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем. . . .

@Буджака 14 / 14 / 1 Регистрация: 02.03.2013 Сообщений: 192

	Авторизация пользователей при отключенном домене 05.04.2017, 10:10. Показов 11489. Ответов 11 Метки нет (Все метки) Добрый день, товарищи и коллеги. Возникла задача, пытаюсь найти необходимую информацию, пока безуспешно. 1.Итак, есть сервер AD DS, с учетными записями, и клиентский компьютер в данном домене. 2.Я авторизуюсь под доменной учетной записью с клиентского компьютера. 3.Я отключаю данный компьютер от сети. После чего, смогу авторизоваться под этой же доменной учеткой (при условии что ранее хоть раз это делал) с клиентского компьютера. Вопрос - как это происходит, и какие механизмы за это отвечают? Как долго я смогу авторизовываться при отключенном контролере домена? Я так понимаю, что учетные данные как то кэшируются на клиентской машине? В какую сторону смотреть для понимания? Итоговая задача - хочу каким либо способом кэшировать одну учетную запись на 100 компьютерах. Можно конечно руками авторизоваться один раз на каждой станции под нужной учеткой, но это не решение вопроса, хотелось бы понять сам механизм. Как задать гуглу правильный вопрос? Заранее спасибо за любую информацию. 0

@sys.tim 490 / 89 / 18 Регистрация: 01.12.2009 Сообщений: 370 Записей в блоге: 1
	05.04.2017, 12:43
	Сообщение было отмечено HotBeer как решение Решение Система хранит хэш пароля пользователя, модифицированный при помощи т.н. "соли", которая, в свою очередь генерируется на основе имени пользователя. Хранится все это великолепие в реестре: HKLM\SECURITY\Cache, но доступ к этой ветке есть только у системы. За возможность кэширования отвечает параметр CashedLogonsCount, расположенный тут - HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Этот параметр задает количество уникальных пользователей, чьи учетные данные будут хранится в кэше. По умолчанию равен 10. Судя по информации из интернетов, кэш хранится бессрочно. 1

HotBeer Модератор 5872 / 2761 / 194 Регистрация: 27.06.2011 Сообщений: 11,152
	06.04.2017, 20:04
	Буджака, жду результата, редко, когда то действительно интересное на не профильных форумах появляется 0

@sys.tim 490 / 89 / 18 Регистрация: 01.12.2009 Сообщений: 370 Записей в блоге: 1
	29.06.2017, 12:53
	Буджака, а ведь действительно) Спасибо, что не забыли про тему и написали решение - можно будет взять на вооружение 0