Jak działa cache'owanie poświadczeń? Jaki mechanizm sprawia, że użytkownik domenowy loguje się na laptopa kontem domenowym poza siecią korporacyjną lub gdy jest offline? Jak to się ma do Kerberosowych ticketów TGT, Session Key i SPN'a?
Przy każdym pomyślnym logowaniu do danej domeny Windows zapisuje powiązane z poświadczeniami informacje w cache. Domyślnie przechowywane jest 10 ostatnich logowań do domeny.
Przechowywanie realizowane jest poprzez wygenerowanie przez proces LSA skrótu z hasha NT i umieszczane w rejestrze w HKLM\Security\Cache.
W momencie gdy kontroler domeny jest niedostępny, wprowadzone przez użytkownika podczas logowania poświadczenia zamieniane są na wymieniony wyżej skrót i porównywany ze skrótem z poświadczeń przechowywanym w cache.
Logowanie poświadczeniami z cache pozwala na dostęp tylko do zasobów lokalnej maszyny a nie zasobów i usług hostowanych na innych maszynach w domenie. TGT nie jest w tym wypadku używany - nie został nawet wygenerowany ponieważ nie nastąpiło pomyślne logowanie do domeny.
