WinServer 2012 R2 AD 组策略禁止域用户离线缓存登陆

缓存登录主要是为了解决当公司域控制器发生故障联系不上DC或用户拿笔记本电脑回家不拔VPN的情况下，依然能够登录到系统。如果用户登录的时候联系不到DC，那么就凭用户登录时输入的用户名和密码去缓存中校验，如果能联系上DC就不会使用缓存技术。

默认情况下不做任何设置，客户端可以缓存10个域账号，最多可以缓存50个域账号，理论上缓存时间为永久，缓存位置如下：

1、域账号信息如下

（1）以管理员运行注册表找到 KEY_LOCAL_MACHINE → SECUITY

（2）默认管理员是没有 SECURITY 权限的，需要给管理员添加权限

（3）添加权限

3、刷新后查看，默认情况下，客户端可以缓存10个域账号，如下图所示 NL$1 至 NL$10

（1）红线标注的NL$1，NL$2 说明已经有2个域账号登陆已被缓存，本例分别是 zhangsan 跟管理员 sh.it，因为之前已经登陆过。

（2）我们尝试关掉DC服务器，然后把上面的2个红线标注的Key删除后，在试着登陆，提示无法登陆，因为这时缓存已经被我们手动删除了。而且DC也被关闭了，所以这时就无法登陆了。

这里如果把上面NL&开头的1-10项和NL&Control 删除，重启电脑的时候会自动重新生成新的 10个Key

4、我们也可以在DC服务器通过组策略统一设置，方法如下：

（1）在OU下面创建一个GPO，注意这里要把计算机也要放到这个OU下面，因为设置的是计算机

（2）计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 安全选项 → 交互式登陆：之前登录到缓存的次数（域控制器不可用时）

(3) 将不要缓存登陆次数设为 0

（4）强制更新组策略，DC服务器跟客户端分别执行

gpupdate /force

5、我们把 DC1 关机

6、客户端开机再次登陆，已无法登陆

7、把DC1开机后，客户端成功登陆

8、此时发现 Cache 里面没有缓存 NL$1 至 NL$10 的值，所以也就无法缓存登陆了，注意这里只是隐藏了，如果你把组策略移除，缓存值还是会复原的。