Pourquoi puis-je me connecter à une machine même si le contrôleur de domaine AD est hors service ?

Windows Server & IT Pro Active Directory & Entra ID
1

Scénario :

  • Pendant que mon DC fonctionne, je me connecte à une machine quelconque.

  • J’arrête le DC.

  • Je me déconnecte de la machine quelconque. Redémarrons-la aussi par précaution.

  • Lorsque la machine redémarre, je peux toujours me connecter avec mes identifiants de domaine même si le DC est hors service.

Pourquoi et comment ?

Y a-t-il une sorte de cache d’identifiants local en jeu sur la machine « quelconque » ? Mon mot de passe a-t-il été haché et stocké pour le futur AU CAS OÙ le DC tombe en panne ?

Le même processus fonctionnerait-il si j’essayais de me connecter à une machine sur laquelle je ne me suis jamais connecté auparavant alors que le DC est hors service ?

Source : Server Fault

2

Par défaut, Windows met en cache les 10 à 25 derniers utilisateurs qui se sont connectés à une machine (selon la version du système d’exploitation). Ce comportement est configurable via GPO et est couramment désactivé complètement dans les cas où la sécurité est critique.

Si vous essayiez de vous connecter à un poste de travail ou un serveur membre sur lequel vous ne vous êtes jamais connecté alors que tous vos DC sont injoignables, vous obtiendriez une erreur indiquant Il n'y a actuellement aucun serveur d'ouverture de session disponible pour traiter la demande d'ouverture de session