GPO Caching Domain Logon

   Önbelleğe alınan kimlik bilgileri, bir etki alanı denetleyicisi kullanılamadığında kullanıcının makine kaynaklarına erişmesine olanak tanır. Windows'ta önbelleğe alınan AD kimlik bilgileri hakkında bilgi sahibi olmamız mantıklı olacaktır, ancak önbellek mekanizması aslında sunucunun değil istemcinin bir işlevidir. Önbelleğe alınan kimlik bilgileri ve AD kimlik bilgileri senkronize olmadığında hesap kilitleme sorunlarından kaçınmak için en iyi uygulamalara daha yakından bakıyoruz.

 Etki alanı hesapları için oturum açma bilgileri yerel olarak önbelleğe alınabilir, böylece sonraki oturum açmalarda bir etki alanı denetleyicisine başvurulmazsa, bir kullanıcı yine de oturum açabilir. Bu politika ayarı, oturum açma bilgileri yerel olarak önbelleğe alınan benzersiz kullanıcı sayısını belirler. 

• Bir etki alanı denetleyicisi kullanılamıyorsa ve bir kullanıcının oturum açma bilgileri önbelleğe alınırsa, kullanıcıya şu mesaj listelenir. A domain controller for your domain couldn't be contacted.You've been logged on using cached account information. Changes to your profile since you last logged on might not be available.
• Bir etki alanı denetleyicisi kullanılamıyorsa ve kullanıcının oturum açma bilgileri önbelleğe alınmıyorsa, kullanıcıya şu mesaj listelenir. The system can't log you on now because the domain DOMAIN NAME isn't available.

Computer Configuration>Policies>Windows Settings>Security Settings>Local Policies>Security Options altındaki Interactive logon: Number of previous logons to cache ilke ayarının değeri, oturum açma bilgileri sunucunun yerel olarak önbelleğe aldığı kullanıcı sayısını gösterir.

Sonuç olarak,

• Bu ilke ayarında, 0 değeri oturum açma önbelleğini devre dışı bırakır. 
• 50'nin üzerindeki herhangi bir değer yalnızca 50 oturum açma denemesini önbelleğe alır. Windows maksimum 50 önbellek girişini destekler ve kullanıcı başına tüketilen giriş sayısı kimlik bilgilerine bağlıdır. Örneğin, bir Windows sisteminde maksimum 50 benzersiz parola kullanıcı hesabı önbelleğe alınabilir, ancak yalnızca 25 akıllı kart kullanıcı hesabı önbelleğe alınabilir, çünkü hem parola bilgileri hem de akıllı kart bilgileri depolanır. Önbelleğe alınmış oturum açma bilgilerine sahip bir kullanıcı yeniden oturum açtığında, kullanıcının önbelleğe alınmış bireysel bilgileri değiştirilir.
• Varsayılan değer 10 olarak ayarlanmıştır. Sunucu 10 kullanıcı için oturum açma bilgilerini önbelleğe alır. 11. kullanıcı cihaza giriş yaptığında, sunucu en eski önbelleğe alınmış oturum açma oturumunun üzerine yazar.
• Kullanıcı Parolaları sınırsız saklanır.

Sunucu konsoluna erişen kullanıcıların oturum açma kimlik bilgileri o sunucuda önbelleğe alınır. Sunucunun dosya sistemine erişebilen kötü amaçlı bir kullanıcı, bu önbelleğe alınmış bilgileri bulabilir ve kullanıcı şifrelerini belirlemek için kaba kuvvet saldırısı kullanabilir. Windows bu tür saldırıları bilgileri şifrelemek ve önbelleğe alınan kimlik bilgilerini çok sayıda fiziksel yere yayılmış olan sistem kayıtlarında tutmaktadır.

• Önbelleğe alınan hesap bilgilerinin süresi dolmaz, ancak daha önce açıklandığı gibi üzerine yazılabilir.
• Bir etki alanı denetleyicisi kullanarak şifrenizi değiştirdikten sonra önbelleğe alınmış kimlik bilgilerini kullanan bir bilgisayarda oturum açamazsınız.