为什么域控制器关机后，域客户机仍能登录到域

在做内网环境测试的时候发现，即使域控制机已经关闭，偶尔也会发生域客户机能登陆的情况

原因分析如下

当一台域计算机脱离域环境中后，与控制器失去联系，用户登陆到域中使用的缓存信息登陆。在域控制器不可用的情况下可被缓存的前次登陆个数为10。如果超过这个默认的次数，有可能造成您无法使用缓存登陆。您可以尝试更改这个默认的键值然后重新启动计算机并且禁用缓存登陆。

在  "本地计算机"策略--计算机配置--Windows  设置--安全设置---本地策略--安全选项中存在如下设置项：    Interactive logon: Number of previous logons to cache (in case domain controller is not available)：10 logons 这里所指的10次，是10个用户登陆。而不是一个用户登陆的最大有效次数。一个用户可登陆的次数理论上是无限的。如果要禁止此项设定，您可以把这个值设为0。  

这些信息存在 HKEY_LOCAL_MACHINE\SECURITY\Cache 里。其下设定10个子键，名称从 NL$1-NL$10。每当一个帐户登陆此计算机，其Profile被创建在 %HOMEDRIVE%\Documents and Settings 下，相应的帐户信息和安全性描述被缓存下来，并在此键值中作出记录。该键值中记录已经登陆帐户的名称及其相关标识。 

注：默认情况下管理员组对于 HKEY_LOCAL_MACHINE\SECURITY 子键没有读写权限。您可以执行 regedt32.exe <windows 2000> 或者 regedit.exe <windowsXP> 添加对于该子键的读权限。关于注册表的描述和操作，请参考 Microsoft Windows 注册表说明。 值得注意的是，这里所说的 10 个用户帐户，是指已经在本地登陆过的，也就是已经 cache 到本地了的帐户，而不是任意的帐户。如果没有登陆过帐户，由于在登陆的时候需要查询域控制器，那么在交互式登陆下系统立刻会提示当前域不可用。在加入域的计算机中，此策略的有效设定最终取决于域策略的设定。 由于windows中此项机制的运作，此键值可以作为入侵检测的项目之一。  关于此设定描述请参考 825805 "Interactive Logon: Number of Previous Logons to Cache" Help Topic 有趣的是，即便在Windows 2003 的随机文档中，关于此项的描述也是错误的，或许这个设定从字面上来理解太容易让人误解了。