ყველა AD დომენს აქვს დაკავშირებული KRBTGT ანგარიში დომენისთვის Kerberos-ის ყველა ბილეთის დასაშიფრად და ხელმოწერისთვის. KRBTGT ანგარიში უნდა დარჩეს გათიშული.
რამდენ სიხშირით უნდა გადატვირთოთ Krbtgt?
გადააყენეთ პაროლი krbtgt ანგარიშისთვის მინიმუმ ყოველ 180 დღეში. პაროლი ორჯერ უნდა შეიცვალოს, რათა ეფექტურად წაშალოთ პაროლის ისტორია. ერთხელ შეცვლა, რეპლიკაციის დასრულებამდე მოლოდინი და ხელახლა შეცვლა ამცირებს პრობლემების რისკს.
რა არის Krbtgt დომენი?
KRBTGT ანგარიში არის დომენის ნაგულისხმევი ანგარიში, რომელიც მოქმედებს როგორც სერვისის ანგარიში გასაღების განაწილების ცენტრის (KDC) სერვისისთვის. ამ ანგარიშის წაშლა, ანგარიშის სახელის შეცვლა და Active Directory-ში მისი ჩართვა შეუძლებელია.
რისთვის გამოიყენება Krbtgt?
KRBTGT ანგარიში გამოიყენება დომენის ფარგლებში ყველა Kerberos ბილეთის დასაშიფრად და ხელმოწერისთვის, ხოლო დომენის კონტროლერები იყენებენ ანგარიშის პაროლს Kerberos ბილეთების დასადასტურებლად. ანგარიშის ეს პაროლი არასოდეს იცვლება და ანგარიშის სახელი ყველა დომენში ერთი და იგივეა, ამიტომ ის თავდამსხმელებისთვის ცნობილი სამიზნეა.
რატომ შეიცვალა პაროლის ჰეში Krbtgt ანგარიშისთვის Windows 2003-დან Windows 2008-მდე ფუნქციური დონის განახლების დროს?
KRBTGT პაროლის ჰეში, რომელიც ჩვეულებრივ არასოდეს შეცვლილა (გარდა დომენის ფუნქციონალური დონის ამაღლების 2003 წლიდან 2008/2008R2/2012/2012R2-მდე). … ეს სავარაუდოდ გამოწვეულია იმით, რომ KRBTGT პაროლი იცვლება როგორც2008 წლის DFL განახლების ნაწილი Kerberos AES დაშიფვრის მხარდასაჭერად, ასე რომ, ის გამოცდილია.
