Standardmäßig speichert Windows 2000/XP die 10 zuletzt benutzten Passwörter von Domänenbenutzern (bzw. die Hashes davon) auf dem lokalen Rechner.
Ist ein Notebook Mitglied in einer Windows-Server-Domäne und soll von unterschiedlichen Personen auch offline verwendet werden können, bietet es sich an, den Passwort-Cache zu erhöhen.Dazu in der Systemsteuerung unter Verwaltung - lokale Sicherheitsrichtlinien - lokale Richtlinien - Sicherheitsoptionen die Option Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen... auf eine entsprechende Zahl setzten. Eine sinnvolle Einstellung hängt von der Anzahl der Personen ab, die sich einloggen sollen können.
Der entsprechende Eintrag in der Registry ist:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount
Sicherheitstechnisch kann es natürlich auch sinnvoll sein, die Anzahl runterzusetzen (z.B. auf 0).
Zusätzlich kann es sinnvoll sein, servergespeicherte Profile auf dem Notebook zu deaktivieren. Dazu genügt es im Gruppenrichtlinien-Editor (gpedit.msc) unter Computerkonfiguration – Administrative Vorlagen – System – Benutzerprofile den Eintrag “Nur lokale Benutzerprofile zulassen” zu aktivieren.
Der entsprechende Eintrag in der Registry ist:
HKLM\Software\Policies\Microsoft\Windows\System\LocalProfile
(Binärwert, muß auf 1 gesetzt werden)