從外部網路環境，竟可以登入AD帳號？

從外部網路環境，竟可以登入AD帳號？
到iT邦幫忙

wolfonone（iT邦初學者10級）發問：
筆電加入AD後，在公司內部網路使用正常，但在公司外部網路環境卻莫名其妙可以登入AD帳號（照理來講是不行的）。此外，網路功能在外部就完全不能使用，TCP/IP設定都正常，硬體也都運作正常，但就是無法上網，然而在內網環境中又一切正常。請問該如何解決？

ghost234（iT邦初學者8級）：
我記得這好像是正常的，因為在外部時，你登入網域只是暫時在電腦本機中做記錄，而非真正登入網域，所以相關網域資源都不能用。

oowo（iT邦初學者6級）：
1. 該筆電的作業系統是？

2. 是否針對網路的部分使用GPO？

3. 檢查網路設定值（有線跟無線的部分，以及查看內部驗證模式及相關設定）。

有些為了安全性考量，會強迫針對後兩點進行限制。至於可登入AD的狀況很正常，就是所謂的離線登入。

m932243（iT邦初學者9級）：
1.一般而言，只要曾經在連線網域狀態下，登入過網域，則該電腦即會有該帳戶登入（快取）資料，所以，網域離線時，的確是可以正常登入網域。

2.無法上網的情形，有可能是電腦TCP/IP的設定，不適合外部環境，如Gateway、DNS的設定，建議可以詢問一下外部環境的TCP/IP的正確設定。

aesop（iT邦初學者6級）：
這是正常的啊，預設無法連線到DC後，還可以登入10次。例如mary曾經登入過這臺，即便是無法連線到DC，他還是可以登入10次。但是如果john不曾用過這臺，那就不行。

這個設定可以透過GPO修改。在 「電腦設定」、「Windows 設定」、「安全性設定」、「本機原則」、「安全性選項」、「互動式登入：先前網域控制站無法使用時的登入快取次數」，預設值是10。

fran633（iT邦初學者1級）：
用戶端是XP加上SP3，AD是Windows Server 2003，所以不會是NAP？除了GPO之外，有沒有可能是802.1X的關係？請再確認。