Ich habe heute feststellen müssen, das viele Leute nichts von der Zwischenspeicherung der Anmeldedaten eines Users (cached credentials) in einer Domain Umgebung wissen. Die Zwischenspeicherung der Anmeldedaten ermöglicht es dem Benutzer sich sich auch denn an seinem System anzumelden, auch wenn der Client/Server die Anmeldung nicht gegen einen DC/BC prüfen kann. Dies geht aber nur, insofern der DC/BC nicht erreichbar ist. Andernfalls kann der Client mit dem Server kommunizieren und bekommt so evtl. mitgeteilt, dass das Kennwort abgelaufen, der Account gesperrt oder der Benutzer vielleicht sogar gelöscht wurde.
Ab Windows 2000 bis Windows 7 werden die letzten 10 Logins zwischengespeichert. Somit ist mit eben diesen Accounts auch dann ein Login möglich wenn keine Verbindung zu einem Controller hergestellt werden kann. Meldet sich ein User mit zwischengespeicherten Anmeldedaten an, so wird im Eventlog ein System Eintrag mit der ID 5719 erstellt.
Das heißt aber nicht, dass der User nach der Anmeldung wie gewohnt auch mit allen Applikationen arbeiten kann. Die Möglichkeit dieser Anmeldung kann man zum Beispiel nutzen um sich an einem System anzumelden, dass nicht mehr im Netz ist, bei dem aber auch leider keiner mehr das lokale Administrator Kennwort weiß. Damit dies geht, darf der Client beim starten sowie bei der Anmeldung keine Verbindung zur Domain haben.
Verschiedene Links:
http://support.microsoft.com/kb/913485
http://support.microsoft.com/kb/913485/en-us
http://support.microsoft.com/kb/242536/en-us
PMDump ermöglicht den RAM Informationen einer Anwendung als DUMP wegzuschreiben (winlogon.exe)http://ntsecurity.nu/toolbox/
http://searchsecurity.techtarget.com/tip/1,289483,sid14_gci801355,00.html