ドメイン環境の Windows にはログオンキャッシュがあり、設定に関してはグループポリシーで設定することが可能になっています。
デフォルトの状態では、[ローカル セキュリティ ポリシー] で 10 ログオン分保存されるようになっています。
このログオンキャッシュがどこに保存されているんだろうと思って少し調べてみました。
■ログオンキャッシュの保存先を検証
ログオンキャッシュですが、[LSA : ローカル セキュリティ 機関] に保存されているようです。
Windows のレジストリの、[HKLMSECURITY] ですが、デフォルトの状態では Administrators グループのユーザーでもレジストリを展開できないようになっています。
これは、[SECURITY] のキーのアクセス許可で [Administrators グループ] には読み取りの権限がついていないため、このような表示となっています。
# デフォルトでは、SYSTEM にフルコントロール、Administrators グループは特殊なアクセス許可となっています。
[読み取り] または、[フル コントロール] のアクセス許可を明示的に設定することで、レジストリにアクセスすることが可能です。
# 試すときは自己責任でお願いいたします。
SECURITY キーが展開になると、[Cache] というキーが確認できます。
上の画像では、[NL$3] に値が設定されていることが確認できます。
# ちょっと強引に値を消したりした環境なので、[NL$1] から始まって居ません…。
ネットワークに接続されていない状態ですが、ログオンキャッシュを使ってログオンが可能な状態となっています。
こちらのブログで書かれている、[whoami /fqdn] でログオンキャッシュが使われているかを確認してみます。
# いつも参考にさせていただいている、Always on the clock というブログになります。
参考)
キャッシュされたログオン
ネットワークに接続していないため、ログオンキャッシュが使われエラーとなっていることが確認できます。
このことから現在は、ログオン情報がキャッシュとして残っていることが確認できました。
それでは、先ほどの [NL$3] の情報を [0 でクリア] してみたいと思います。
# 初期の状態と合わせ、一度内容を消して [00A7] まで 0 クリアしています。
ログオンすることができなくなっていることが確認できます。
ログオンキャッシュについては [HKLMSECURITYCache] に保存されているみたいですね。
ちょっと気になったので簡単ではありますが調べてみました。
# 通常、手動でアクセスする必要のない [SECURITY] キーにアクセスをしていますので本内容を自分でも試してみようと思われた方は自己責任でお願いいたします。