Ар бир AD доменинде домен үчүн бардык Kerberos билеттерин шифрлөө жана кол коюу үчүн байланышкан KRBTGT каттоо эсеби бар. KRBTGT аккаунту өчүрүлгөн бойдон калышы керек.
Krbtgt'ди канча убакытта баштапкы абалга келтирүү керек?
Krbtgt аккаунтунун сырсөзүн баштапкы абалга келтириңиз жок дегенде 180 күндө бир. Сырсөз тарыхын эффективдүү алып салуу үчүн сырсөздү эки жолу өзгөртүү керек. Бир жолу өзгөртүү, репликациялоонун аяктоосун күтүү жана кайра өзгөртүү көйгөйлөрдүн чыгуу коркунучун азайтат.
Krbtgt домени деген эмне?
KRBTGT каттоо эсеби Ачкыч бөлүштүрүү борбору (KDC) кызматы үчүн кызмат эсебинин милдетин аткарган домендин демейки эсеби. Бул каттоо эсебин жок кылуу, аккаунттун атын өзгөртүү жана аны Active Directoryде иштетүү мүмкүн эмес.
Krbtgt эмне үчүн колдонулат?
KRBTGT аккаунту домендеги бардык Kerberos билеттерин шифрлөө жана кол коюу үчүн колдонулат жана домен контроллерлору текшерүү үчүн Kerberos билеттеринин шифрин чечмелөө үчүн эсептин сырсөзүн колдонушат. Бул аккаунттун сырсөзү эч качан өзгөрбөйт жана аккаунттун аталышы ар бир доменде бирдей болгондуктан, ал чабуулчулар үчүн белгилүү максат болуп саналат.
Эмне үчүн Windows 2003-тен Windows 2008-ге функционалдык деңгээлдеги жаңыртуу учурунда Krbtgt аккаунтунун сырсөз хэши өзгөртүлдү?
КРBTGT сырсөз хэш, адатта эч качан өзгөртүлбөйт (домендин функционалдык деңгээли 2003-жылдан 2008/2008R2/2012/2012R2ге көтөрүлгөндөн башка). … Бул KRBTGT сырсөзүнүн өзгөрүшүнө байланыштуу болушу мүмкүнKerberos AES шифрлөөсүн колдоо үчүн 2008-жылга DFL жаңыртуусунун бир бөлүгү, ошондуктан ал сыналган.
