是的，您必须将计算机放在域中并禁用密码缓存。请注意，如果您这样做，您将收到错误消息“系统现在无法让您登录，因为该域不可用。” 如果域服务器已关闭。

这可以通过将组策略HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon\CachedLogonsCount设置为 0 来完成。

忘记 Kerberos，部署起来太费力/太昂贵了。这个问题的海报有一个有效的“尤里卡时刻”。但是，似乎忘记了虽然密码不再缓存在他/她的场景中，但它们仍然可以在网络上被嗅探和捕获。

然而，发布者观察的主要原则（即通过在中央身份服务器上存储凭据来消除薄弱环节并减少攻击向量）仍然有效。我注意到，同样的原则已经通过提供单点登录服务的公司转化为基于云的应用程序和网络软件（即，将凭据存储在中央和安全的云服务器上，以简化访问并促进使用更复杂和多样化的密码） . 这些服务转化为身份管理……不仅仅是简单的密码管理。

最近的索尼 Playstation Network 黑客事件显示，即使是“精通技术”和“有安全意识”的用户也在不断增加的在线帐户中重复使用相同的密码。当然他们是......而且很可能仍然是！一个人能记住多少个密码？只有可以链接到 Active Directory 的单点登录服务才能接近完整的解决方案。

有人遇到过这样的服务吗？我现在正在 www.smartsignin.com 对一种解决方案进行 beta 测试。他们实施的加密并未使用其云身份服务器上的单个“完整”密钥，该密钥可以解密您存储的凭据。相反，密钥在服务器和用户系统之间拆分。因此，用户从他们的浏览器实时控制他们从新的集中式身份配置文件访问的每个帐户的解密。很酷，我觉得。他们还具有多因素身份验证，以防止会话被劫持。看看，让我知道你的想法。

正如您刚刚在 Ubuntu 启动中演示的那样，我还将采取措施锁定本地计算机上的任何 USB 或 CD/DVD 启动，以防止任何试图绕过（我假设）AD UAC 并可能获得访问权限到本地网络。

如果管理员很聪明，他们会让所有内部数据（以及外部数据）穿过防火墙，以防止碰巧在本地域中的任何未经授权的用户转向域中其他地方的另一台机器或用户，或者完全出于各种邪恶原因的另一个域。