如何清除缓存的域凭据？

Question

相关： 如何在 Windows 7/2k8 中启用无线域身份验证？

为了测试我尝试在上述问题中设置的通过无线连接功能登录的域，我需要一个没有在本地系统上缓存域凭据的帐户。不幸的是，我办公室里只有这么多人可以帮我测试这个，即使这样我也不想为此打扰他们。所以，我希望能够在每次登录后清除我自己的缓存凭据。

如何清除本地缓存，同时保留将来缓存凭据的能力？

Answer 1

David Yu 的回答几乎是针对目标的，但是有一种方法可以在不直接编辑注册表的情况下做到这一点。不过，这仅在 GPO 未配置设置时才有效。

首先，我想指出缓存的凭据数据的存储位置。这将有助于演示（并且，出于故障排除目的，验证）配置更改的效果。

警告： 我在 Internet 上的多个地方找到了此信息，其中大部分建议不要手动修改这些值。

存储缓存域登录的注册表项甚至对管理员也是隐藏的。它只能由 SYSTEM 帐户访问。因此，要查看它，您需要一个类似的工具psexec（可从 Microsoft 获得，但默认情况下未安装），它允许您以regeditSYSTEM身份运行。执行此操作的命令行（假设它已安装，并且在您的 中%PATH%）是：

psexec -d -i -s regedit

进入后，导航到HKLM\SECURITY\Cache\。在这里，您应该会看到几个 BINARY 值。对于可用于缓存凭据的每个插槽，将有一个名为 NL$Control 和其他名为 NL$## 的插槽。（默认 10）

再次，我想在这里强调您不应手动修改或删除此键或其值。

那么，既然我们知道数据缓存在哪里，并且我们不应该触及它，那么我们如何清除它？

同样，David Yu 的回答将指向正确的注册表项。但是，如果您不想直接修改注册表，还有另一种方法可以通过本地安全策略来做到这一点。

secpol.msc

在安全设置树中，导航到Local Policies\Security Options。这里将有一个名为 的策略Interactive logon: Number of previous logons to cache (in case domain controller is not available)。

默认情况下，这设置为10 logons。要清除缓存，请将其设置为零并单击确定。在 Server 2008 上，这将立即生效。对于 Server 2003，您需要重新启动。可以在HKLM\SECURITY\Cache\不再有任何 NL$## 值的地方看到影响。

要重新启用凭据缓存，请编辑相同的策略以反映您的首选值并点击确定。同样，如果您使用的是 Server 2008，这将立即生效。Server 2003 需要重新启动。请注意，如果您在 Server 2008 上执行此操作并且尚未注销或重新启动，您可以看到缓存插槽已恢复，但其中没有实际数据。

如果您只想对需要临时禁用凭据缓存的任何功能进行快速、一次性检查，那么在 Server 2008 中无需注销或重新启动即可执行此操作。它还有助于确保您不会忘记在下次登录后还原更改。

Answer 2

您可以修改系统的注册表以禁用缓存的登录凭据。将注册表项设置为 0。每次更改后都需要重新启动。这还假设您没有设置此密钥的 GPO。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon\

值名称：CachedLogonsCount

数据类型：REG_SZ

值：0 - 50