域控制器在域中只有一個(gè)，為什么主域控制器關(guān)機(jī)后，域客戶機(jī)還能登錄到域呢？下文給出詳細(xì)解釋。

當(dāng)一臺(tái)域計(jì)算機(jī)脫離域環(huán)境中后，與控制器失去聯(lián)系，用戶登陸到域中使用的緩存信息登陸。在域控制器不可用的情況下可被緩存的前次登陸個(gè)數(shù)為１０。如果超過(guò)這個(gè)默認(rèn)的次數(shù)，有可能造成用戶無(wú)法使用緩存登陸。可以嘗試更改這個(gè)默認(rèn)的鍵值然后重新啟動(dòng)計(jì)算機(jī)并且禁用緩存登陸。那么我們?nèi)绾稳バ薷倪@個(gè)默認(rèn)的鍵值呢？

在  "本地計(jì)算機(jī)策略--計(jì)算機(jī)配置--Windows  設(shè)置--安全設(shè)置---本地策略--安全選項(xiàng)"中，存在如下設(shè)置項(xiàng)：

Interactive logon: Number of previous logons to cache (in case domain controller is not available)  ：      10 logons

這里所指的10次，是10個(gè)用戶登陸。而不是一個(gè)用戶登陸的最大有效次數(shù)，一個(gè)用戶可登陸的次數(shù)理論上是無(wú)限的。如果要禁止此項(xiàng)設(shè)定，您可以把這個(gè)值設(shè)為0。

這些信息存在 HKEY_LOCAL_MACHINE\SECURITY\Cache 里。其下設(shè)定10個(gè)子鍵，名稱從 NL$1-NL$10，每當(dāng)一個(gè)帳戶登陸此計(jì)算機(jī)，其Profile被創(chuàng)建在 %HOMEDRIVE%\Documents and Settings 下，相應(yīng)的帳戶信息和安全性描述被緩存下來(lái)，并在此鍵值中作出記錄。該鍵值中記錄已經(jīng)登陸帳戶的名稱及其相關(guān)標(biāo)識(shí)。

（注：默認(rèn)情況下，管理員組對(duì)于 HKEY_LOCAL_MACHINE\SECURITY 子鍵沒(méi)有讀寫(xiě)權(quán)限，您可以執(zhí)行 regedt32.exe <windows 2000> 或者 regedit.exe <windowsXP> 添加對(duì)于該子鍵的讀權(quán)限。關(guān)于注冊(cè)表的描述和操作，請(qǐng)參考 Microsoft Windows 注冊(cè)表說(shuō)明 ）

值得注意的是，這里所說(shuō)的 10 個(gè)用戶帳戶，是指已經(jīng)在本地登陸過(guò)的，也就是已經(jīng) cache 到本地了的帳戶，而不是任意的帳戶。如果沒(méi)有登陸過(guò)帳戶，由于在登陸的時(shí)候，需要查詢域控制器，那么在交互式登陸下，系統(tǒng)立刻會(huì)提示當(dāng)前域不可用。在加入域的計(jì)算機(jī)中，此策略的有效設(shè)定，最終取決于域策略的設(shè)定。

由于windows中此項(xiàng)機(jī)制的運(yùn)作，此鍵值可以作為入侵檢測(cè)的項(xiàng)目之一。

關(guān)于此設(shè)定描述，可以參考 825805 "Interactive Logon: Number of Previous Logons to Cache" Help Topic

有趣的是，即便在Windows 2003 的隨機(jī)文檔中，關(guān)于此項(xiàng)的描述也是錯(cuò)誤的，或許這個(gè)設(shè)定從字面上來(lái)理解，太容易讓人誤解了

主域控制器關(guān)機(jī)后，域客戶機(jī)還能登錄到域的原因上文已給出詳細(xì)的解釋，希望本文能夠?qū)ψx者有所幫助。

【編輯推薦】

1. 域控制器降級(jí)基礎(chǔ)知識(shí)
2. 域控制器的安裝及降級(jí)的方法
3. windows 2003域控制器之無(wú)縫遷移
4. 主域控制器的安裝與配置步驟與方法
5. windows2003域控制器升級(jí)和降級(jí)的圖文教程