Hvert AD-domæne har en tilknyttet KRBTGT-konto til at kryptere og signere alle Kerberos-billetter til domænet. KRBTGT-kontoen bør forblive deaktiveret.
Hvor ofte skal du nulstille Krbtgt?
Nulstil adgangskoden til krbtgt-kontoen mindst hver 180. dag. Adgangskoden skal ændres to gange for effektivt at fjerne adgangskodehistorikken. Hvis du ændrer én gang, venter på, at replikeringen er fuldført og ændres igen, reduceres risikoen for problemer.
Hvad er Krbtgt-domæne?
KRBTGT-kontoen er en domænestandardkonto, der fungerer som en tjenestekonto for Key Distribution Center (KDC)-tjenesten. Denne konto kan ikke slettes, kontonavnet kan ikke ændres, og den kan ikke aktiveres i Active Directory.
Hvad bruges Krbtgt til?
KRBTGT-kontoen bruges til at kryptere og signere alle Kerberos-billetter inden for et domæne, og domænecontrollere bruger kontoadgangskoden til at dekryptere Kerberos-billetter til validering. Denne kontoadgangskode ændres aldrig, og kontonavnet er det samme på alle domæner, så det er et velkendt mål for angribere.
Hvorfor ændres kodeords-hashen for Krbtgt-kontoen under en opgradering på funktionsniveau fra Windows 2003 til Windows 2008?
KRBTGT-adgangskode-hashen, som norm alt aldrig er blevet ændret (bortset fra da domænets funktionsniveau blev hævet fra 2003 til 2008/2008R2/2012/2012R2). … Dette skyldes sandsynligvis det faktum, at KRBTGT-adgangskoden ændres somdel af DFL-opdateringen til 2008 for at understøtte Kerberos AES-kryptering, så den er blevet testet.
