A resposta de David Yu está praticamente no alvo, mas existe uma maneira de fazer isso sem editar o registro diretamente. Mais uma vez, porém, isso funcionará apenas se a configuração não estiver definida pelo GPO.
Primeiro, gostaria de apontar onde os dados das credenciais em cache estão armazenados. Isso ajudará a demonstrar (e, para fins de solução de problemas, verificar) o efeito das alterações na configuração.
AVISO: Encontrei essas informações em vários lugares da Internet, muitos dos quais recomendados contra a modificação manual desses valores.
A chave do Registro que armazena logins de domínio em cache fica oculta até mesmo dos Administradores. Só é acessível pela conta SYSTEM. Portanto, para visualizá-lo, você precisará de uma ferramenta como psexec
(disponível na Microsoft, mas não instalada por padrão) que permitirá a execução regedit
como SYSTEM. A linha de comando para fazer isso (supondo que esteja instalada e na sua %PATH%
) é:
psexec -d -i -s regedit
Quando estiver lá, navegue até HKLM\SECURITY\Cache\
. Aqui, você deve ver vários valores BINARY. Haverá um nomeado NL $ Control e outros nomeados NL $ ## para cada slot disponível para credenciais em cache. (Padrão 10)
Mais uma vez, quero enfatizar aqui que você não deve modificar ou excluir manualmente essa chave ou seus valores.
Então, agora que sabemos onde os dados estão armazenados em cache e que não devemos tocá-los , como podemos limpá-los?
Mais uma vez, a resposta de David Yu indicará a chave de registro correta. Mas, se você preferir não modificar o registro diretamente, há outra maneira de fazer isso através da Diretiva de Segurança Local.
secpol.msc
Na árvore Configurações de segurança, navegue para Local Policies\Security Options
. Aqui será chamada uma política Interactive logon: Number of previous logons to cache (in case domain controller is not available)
.
Por padrão, isso está definido como 10 logons
. Para limpar o cache, defina-o como zero e clique em OK. No Server 2008, isso entrará em vigor imediatamente. Para o Server 2003, você precisará reiniciar. O efeito pode ser visto em HKLM\SECURITY\Cache\
que não haverá mais valores NL $ ##.
Para reativar o cache de credenciais, edite a mesma Política para refletir seu valor preferido e pressione OK. Novamente, se você estiver no Server 2008, isso entrará em vigor imediatamente. Server 2003 exigirá uma reinicialização. Observe que, se você estiver fazendo isso no Server 2008 e ainda não tiver desconectado ou reiniciado, poderá ver que os slots de cache foram restaurados, mas não há dados reais neles.
Fazer isso sem logoff ou reinicialização no Server 2008 pode ser útil se você quiser apenas fazer uma verificação rápida e única de qualquer função que exija cache de credenciais temporariamente desabilitado. Também ajuda a garantir que você não se esqueça de reverter a alteração após seu próximo login.
A maneira de modificar credenciais armazenadas em cache é (por incrível que pareça), modificando as opções de segurança \ Logon interativo: número de logons anteriores para armazenar em cache a política por meio do editor de política de grupo (gpedit)
fonte
Consegui limpar todas as senhas armazenadas, definindo todas as entradas NL $ da mesma forma que a última (as últimas entradas NL $ eram as mesmas, então parece que são apenas espaços reservados). Eu testei isso em computadores com Windows 7 PRO de 64 bits, não testei em mais nada.
Apenas copie o texto abaixo no bloco de notas e salve-o como .reg e execute
regedit / s yourfilename.reg
como a conta do sistema.
fonte
A maneira mais prática de remover credenciais armazenadas é executar o MSTSC e inserir o nome ou o endereço IP do servidor de terminal em cache. Se ele foi armazenado em cache como o nome de domínio totalmente qualificado, é isso que você deve inserir, provavelmente preencherá o campo para você e seu domínio \ nome de usuário. Depois clique em Opções. Se credenciais estiverem armazenadas, você poderá editá-las ou excluí-las.
Para impedir que o sistema armazene em cache as credenciais, edite o arquivo RDP com o bloco de notas e altere o parâmetro PromptCredentialOnce: i: 1 para PromptCredentialOnce: i: 0
fonte