שלום

הבנתי שיש מקרים שבהם מחשב שומר נתונים של דומיין, ויכול להתחבר לדומיין (בלי לבצע אוטנטיקציה), אפילו אם המשתמש לא נמצא בכלל באזור של הדומיין!

מישהו מכיר את זה?

איך מוודאים שכאשר משתמש מתחבר לדומיין, אז יקרה בהכרח שהוא יבצע אוטנטיקציה, ולא ייכנס מהזיכרון הפנימי המוזכר לעיל?

תתחיל מפה - http://support.microsoft.com/kb/913485

האם ה-DC השני מוגדר לך ב Domains and Sites?

שם אמור להיות מוגדר לך האם הוא ראשי, משני, האם הוא Global Catalog.

ברמת העקרון, כשזה המצב, לא צריכה להיות שום בעיה לבצע אותנטיקציה מול אחד ה-DCים

כשהשני למטה.

כל עוד לא הגדירו group policy, כל משתמש שבדומיין יכול לבצע הזדהות מול הדומיין מהמטמון הפנימי, גם כאשר השת אינו זמין.

על מנת לבטל זאת ב-2008 תכנס ל-group policy צור מדיניות חדשה או ערוך מדיניות קיימת, נתב אל:

computer configuration->policies->windows settings->security settings->local policies->security options

ערוך את ההגדרה interactive logon: number of previous logons to cache, סמן ב-v את האפשרות שם ושנה שם את הערך ל-0.

על תשכח להריץ לאחר מכן gpupdate /force על מנת להחיל את המדיניות במיידית.