为什么缓存的凭据会导致帐户锁定以及如何阻止它

当用户帐户被锁定时，原因通常是用户多次输入旧密码或错误密码。然而，这远远不是导致帐户被锁定的唯一原因。

例如，另一个常见原因是应用程序或脚本被配置为使用旧密码登录系统。然而，可能最容易被忽视的帐户锁定原因是使用缓存的凭据。

在解释为什么缓存凭据可能有问题之前，让我们先考虑Windows缓存的凭据做了什么以及为什么它们是必需的。

缓存和存储的凭据

缓存凭据是一种机制，用于确保用户在设备无法访问Active Directory时能够登录到设备。假设一个用户正在一台加入域的笔记本电脑上工作，并连接到公司网络。

在这种情况下，当用户登录时，Active Directory将验证用户的凭据。另一方面，如果用户在家使用同一台笔记本电脑工作，但未连接到公司网络，则Active Directory无法处理用户的登录请求。

这就是缓存凭据发挥作用的地方。如果没有缓存凭据，则用户将无法登录到其设备，因为没有可用于处理登录请求的域控制器。但是，由于Windows支持使用缓存凭据，因此驻留在用户设备中的缓存凭据可以处理身份验证请求。

用户将无法访问公司网络上的任何资源，因为不存在与网络的连接，并且域控制器未处理用户的身份验证。即便如此，用户至少能够登录到他们的笔记本电脑，并使用本地安装在设备上的任何应用程序。

尽管缓存凭据主要用作一种机制，允许用户在办公室外工作时在本地登录，但缓存凭据还有另一个重要用途。如果一个组织遭遇灾难性故障，导致Active Directory中断，那么IT人员可以使用缓存的凭据作为登录到其设备的手段，以便开始诊断和修复Active Directory问题。

所有这些都意味着Windows缓存的凭据确实有一个有效的用例。因此，它们不是你想要禁用的那种东西。然而，如前所述，在某些情况下，使用缓存凭据可能会导致混淆，甚至导致帐户被锁定。

缓存的凭据导致帐户锁定

想象一下，一个用户在两个加入域的设备上工作：一台公司台式机和一台笔记本电脑。现在假设用户正在桌面上工作，并更改了Windows密码。假设此时笔记本电脑已关机，则笔记本电脑不知道密码更改。它仍将用户的旧凭据存储在密码缓存中。

考虑到这一点，考虑下一次用户试图从他们的笔记本电脑登录时会发生什么。如果用户未连接到公司网络，则其新密码将不起作用，因为旧密码仍存储在缓存中。但是，用户仍然可以使用旧密码登录设备。然而，一旦用户连接到公司网络，密码就会更新。这意味着，如果用户反复尝试使用旧密码登录其笔记本电脑，则身份验证过程将失败，用户最终将被锁定在其帐户之外。

更新用户缓存的凭据

Specops uReset可以帮助解决这个问题。用户可以直接从Windows登录屏幕重置其Windows密码。更重要的是，当用户更改或重置密码时，Specops uReset软件会自动在用户的设备上同步新密码，并在此过程中更新本地缓存。这意味着用户永远不应该遇到这样的情况：一些设备已经用新密码更新，而其他设备继续使用旧密码。从IT的角度来看，这意味着与密码相关的服务呼叫更少。