Le compte krbtgt est créé par défaut lors de l'installation du premier contrôleur de domaine dans le domaine et après la promotion d'un RODC.
On ne peut pas modifier ou supprimer le compte KRBTGT.
Le compte krbtgt doit être toujours désactivé.
Le mot de passe du compte krbtgt est utiliser par le Key Distribution Center (contrôleur de domaine) comme une clé pour crypter les ticket kerberos.
Le mot de passe krbtgt est répliqué uniquement sur les DC R/W, chaque RODC possède son propre compte krbtgt pour gérer les demandes hereros.
Tous les tickets kerberos TGT déjà délivrés avant le changement de mot de passe krbtgt seront invalide, il faut que le client reçoit un autre ticket TGT pour accéder à une ressource via l'authentification kerberos.
Si le niveau fonctionnel du domaine est 2003 et vous l'augmenter vers 2008 ou plus ,Le mot de passe krbtgt sera initialiser automatiquement.
Si le niveau fonctionnel du domaine est 2003 et vous l'augmenter vers 2008 ou plus ,Le mot de passe krbtgt sera initialiser automatiquement.
Avant de réinitialiser le mot de passe krbtgt,:
- Il faut que le niveau fonctionnel du domaine soir 2008 ou plus.
- Aucun problème e de réplication entre les contrôleur de domaine R/W
- krbtgt garde les deux derniers mots dans l'historique , pour cela il est recommandé de changer le mot de passe deux fois , et avant de changer le mot de passe la deuxième fois , il faut attendre que le premièr changement soit répliqué sur tous les contrôleurs de domaine
- choisir un mot de passe compliqué
Je vous invite également à consulter un lien sur le forum technet sur le même sujet: Réinitialiser KRBTGT
Aucun commentaire:
Enregistrer un commentaire