ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

Win10 ドメインコントローラーと通信できない環境でのキャッシュログオンの最大数、GPO設定

例えば、外出先などのでActive Diretory、ドメインコントローラーと通信できない環境でのキャッシュログオンの最大数についての情報です。

 

キャッシュログオンのおかげで、ADサーバと通信ができなくても、ログオンすることができます。これには数がありますが、それについての情報は以下が参考になります。

 

対話型ログオン キャッシュする以前のログオン数 (ドメイン コントローラーが使用できない場合) (Windows 10) - Windows security | Microsoft Docs

 

対話型ログオンのベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。キャッシュする以前のログオンの数 (ドメイン コントローラーが使用できない場合 ) セキュリティ ポリシー設定についての情報です。

 

まずは説明です。

 

対話型ログオン : キャッシュする以前のログオン数 (ドメイン コントローラーが使用できない場合) ポリシー設定は、キャッシュされたアカウント情報を使用してユーザーが Windows ドメインにログオンできるかどうかを決定します。 ドメイン アカウントのログオン情報をローカルにキャッシュして、以降のログオン時にドメイン コントローラーに連絡できない場合でも、ユーザーはログオンできます。 このポリシー設定は、ログオン情報がローカルにキャッシュされる一意のユーザーの数を決定します。

 

ドメイン コントローラーが使用できなくなった場合に、ユーザーのログオン情報がキャッシュされている場合、次のメッセージが表示されます。


ドメインドメイン コントローラーに接続できない。 キャッシュされたアカウント情報を使用してログオンしています。 前回ログオンした後のプロファイルの変更は利用できない場合があります。

 

ドメイン コントローラーが使用できなくなった場合に、ユーザーのログオン情報がキャッシュされていない場合、次のメッセージが表示されます。

 

ドメインドメイン名が使用できないので、システムは ログオンできません 。

 

 

このポリシー設定の値は、サーバーがローカルにキャッシュするログオン情報を持つユーザーの数を示します。 値が 10 の場合、サーバーは 10 人のユーザーのログオン情報をキャッシュします。 11 番目のユーザーがデバイスにログオンすると、サーバーは最も古いキャッシュされたログオン セッションを上書きします。


サーバー コンソールにアクセスするユーザーは、そのサーバーにログオン資格情報をキャッシュします。 サーバーのファイル システムにアクセスできる悪意のあるユーザーは、このキャッシュされた情報を見つけて、ブルート フォース攻撃を使用してユーザー パスワードを特定できます。 Windows、情報を暗号化し、キャッシュされた資格情報をシステムのレジストリに保持することで、この種の攻撃を軽減できます。これは、多数の物理的な場所に広がっています。

 

 

そして最大値ですが、50のようです。

 


0 ~ 50 のユーザー定義番号
未定義

 

GPOの設定

 

コンピューターの構成\Windows 設定\セキュリティ 設定\ローカル ポリシー\セキュリティ オプション

 

次の表に、このポリシーの実際の既定値と有効な既定値を示します。 既定値は、このポリシーのプロパティ ページにも表示されます。次の表に、このポリシーの実際の既定値と有効な既定値を示します。 既定値は、このポリシーのプロパティ ページにも表示されます。
既定値サーバーの種類または GPO 既定値
既定のドメイン ポリシー 未定義
既定のドメイン コントローラー ポリシー 未定義
Stand-Alone サーバーの既定の設定 10 ログオン
DC 有効な既定の設定 効果なし
メンバー サーバーの有効な既定の設定 10 ログオン
クライアント コンピューターの有効な既定設定 10 ログオン