Supongamos el siguiente escenario: tenemos ordenadores portátiles, que pertenecen a un dominio, se usan cuentas de usuario de dominio - no se usan cuentas locales - y que se desconectan de él (por ejemplo, un técnico que se lleva el portátil a un cliente, un directivo que trabaja desde casa). Para estas situaciones, el sistema no tiene contacto con los controladores de dominio para poder autentificar a el usuario. Lo que hace en este caso el sistema es usar credenciales cacheadas. Windows, desde su versión NT, almacena un número determinado de credenciales de los usuarios que se han autentificado en el sistema (aunque no está demasiado bien redactado, esa información está en el artículo
KB 172931). El número de usuarios para los cuales cachea la información viene controlado por la siguiente clave de registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon\
ValueName: CachedLogonsCount
Data Type: REG_SZ
Values: 0 - 50
Por defecto Windows almacena las credenciales de los 10 últimos usuarios que se han autentificado en la máquina correctamente. Si este valor se pone a cero, no será posible entrar en la máquina con una cuenta de dominio a menos que se disponga de conectividad con el controlador de dominio.
Una cosa importante es que el mecanismo de caducidad de contraseñas y la actualización de credenciales sólo funcionan cuando el sistema está conectado con un controlador de dominio. Una máquina sin contacto con el dominio puede seguir usando las credenciales cacheadas indefinidamente.
Technorati Tags: windows
No hay comentarios:
Publicar un comentario