[Windows] 캐시 로그온 이란?

 

 

1. Lastlogon 계정 확인

>> 특정 머신에서 셧다운 전에 사용했던 계정은, 다음 접속 시도 시 자동으로 ID 가 등록된 상태로 사용자 Logon 을 기다리게 됨

computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI 에서도 정보 확인가능

 

2. Lastlogon 시간

Lastlogon 의 타임스탬프는 Machine 이 인증을 요청한 DC에서만 업데이트가 됨

$(foreach ($DC in ((get-addomaincontroller -filter * | sort name).name) ){ $user = get-adduser ADUSER -properties lastlogon -server $dc | select name,lastlogon ; echo "$DC - $ (w32tm /ntte $user.lastlogon)" } )

 

3. Owner 의 의미

개체를 만든 사람, 또는 프로세스. 개체에 대한 모든 권한을 갖고 있다.

 

4. 이벤트 로그로 각 머신의 로그온정보 확인이 가능함

Security log 의 4624(로그온 성공), 4625 (로그온 실패)

PDC 에서 확인

 

 

5. AD에서 컴퓨터나 사용자 정보 조회

get-aduser -identity 채오 -properties *
get-adcomputer -identity PCAAAA -properties *

 

6. Lastlogon

Lastlogon : DC 중 접속을 시도한 Client(PC)와 통신한 DC에서만 업데이트 됨. 이 속성은 다른 DC에 동기화 되지 않는다.

lastlogonstamp : 비활성 컴퓨터 및 사용자 계정을 식별하기 위함. 약 9일~14일 전의 데이터 + 특정 로그온 유형(user interactive, network)에 관해서만 업데이트 됨

 

7. 캐시 로그온 구조

SID 말고 ID + PW 의 해시값을 가지고 Cached logon 을 진행함

해당 로컬 머신으로 정상 로그온이 가능했던 계정에 한하여 가능하며, 디폴트 10개 저장 가능함

 

 

8. Lastlogon 시간 업데이트

사용자가 정상 로그인 시 (재부팅, 사용자 전환)

 

9. msDS-LastSuccesful 속성 값은 DC에서 조회 되지 않는데 정책 설정 시 활성화 가능 함

AD User 가 접속할 때마다 속성값이 업데이트 되며, 로컬머신에서는 화면이 확인 됨

 

10. 비밀번호 만료 기간

사용자 객체

\Computer Configuration\Windows Setting\Security Setting\Account Policies\Password Policy\Maximum..

컴퓨터 객체

\Computer Configuration\Windows Setting\Security Setting\Local Policies\Security Options