使用者系列之二:域環境下使用者登入之快取故障

餘二五發表於2017-11-15
場景1:單域有一臺DC,如何設定域使用者在聯絡不上DC時不能登入?

答:開啟DC的預設的域的安全策略,安全設定—本地策略—安全選項–“互動式登入:可被快取的前次登入個數(在域控制器不可用時)”設定值為0(預設是10,最大為50)。

然後客戶端要重新啟用計算機方可生效。這樣當使用者再次登入到域時,如果能聯絡上DC,登入成功,如果聯絡不上DC,則無法登入。(因為不再對使用者資訊進行快取,如果不進行如上設定,預設狀況下客戶端要快取最近10登入的使用者資訊,此處的詳細資訊請見本部落格另一篇技術文章“
使用者登入後快取使用者資訊在哪?如何修改使用者登入方式?

** 如果單位使用者使用筆記本,最好不要設定為0,否則,該使用者脫離域使用筆記本時將無法登入到域(當然可以登入到本地)

場景2:跨地區的環境下,如總部北京,分支機構上海,當域使用者在上海的計算機上登入時,無法登入到域?(多域環境效果明顯)

答:對於跨地區的企業一定要劃分站點,否則使用者的登入速度會特別慢,(至於原因,以後會找時間寫一寫)。但當你劃分站點後,如果設定不當,反而會出現使用者不能登入到域的現象。在這裡要做的必須在每個站點佈置至少一臺域控制器和GC,因為GC要求計算機硬體要好,如果沒有條件,也可以在相應的沒有GC的站點啟用“通用組成員關係快取”。用於快取使用者的登入資訊。如本例在北京站點佈置一臺GC,在上海可以啟用“通用組成員關係快取”。這樣當使用者在上海登入時可以把使用者資訊快取到上海的DC上,這樣即使上海和北京站點失去聯絡,使用者也可以在上海的客戶端上登入。而使用者資訊是從上海的DC上拿的。

本例的前提:2003域環境,域功能級別是win2000本機模式或win2003模式。


在這裡有關GC/使用者登入資訊/通用組問題後續~~~~~~~~~~~
本文轉自 jary3000 51CTO部落格,原文連結:http://blog.51cto.com/jary3000/122426,如需轉載請自行聯絡原作者


相關文章