Всеки AD домейн има свързан KRBTGT акаунт за криптиране и подписване на всички Kerberos билети за домейна. Профилът KRBTGT трябва да остане деактивиран.
Колко често трябва да нулирате Krbtgt?
Нулирайте паролата за krbtgt акаунта a поне на всеки 180 дни. Паролата трябва да бъде променена два пъти, за да премахнете ефективно историята на паролите. Промяната веднъж, чакането на репликацията да завърши и промяната отново намалява риска от проблеми.
Какво е Krbtgt домейн?
Профилът KRBTGT е акаунт по подразбиране на домейн, който действа като акаунт за услуга за услугата Key Distribution Center (KDC). Този акаунт не може да бъде изтрит, името на акаунта не може да бъде променено и не може да бъде активирано в Active Directory.
За какво се използва Krbtgt?
Профилът KRBTGT се използва за криптиране и подписване на всички Kerberos билети в рамките на домейн, а контролерите на домейни използват паролата на акаунта, за да декриптират Kerberos билети за валидиране. Тази парола за акаунт никога не се променя и името на акаунта е едно и също във всеки домейн, така че е добре позната цел за нападателите.
Защо хешът на паролата за акаунта Krbtgt е променен по време на надстройка на функционално ниво от Windows 2003 до Windows 2008?
Хешът на паролата KRBTGT, който обикновено никога не е бил променян (освен когато функционалното ниво на домейна е било повишено от 2003 на 2008/2008R2/2012/2012R2). … Това вероятно се дължи на факта, че паролата на KRBTGT се променя каточаст от актуализацията на DFL до 2008 г. за поддръжка на Kerberos AES криптиране, така че е тестван.
