A: ověřovací protokol Kerberos používá lístky relací, které jsou šifrovány symetrickým klíčem odvozeným z hesla serveru nebo služby, ke které uživatel systému Windows požaduje přístup. Chcete-li požádat o lístek relace, musí uživatel předložit speciální lístek, nazvaný ticket-granting ticket (TGT) službě Kerberos Key Distribution Center (KDC) na řadiči domény (DC). Všichni uživatelé systému Windows získají TGT z KDC na začátku své přihlašovací relace systému Windows poté, co se úspěšně autentizují k KDC pomocí svého hesla.
KDC šifruje TGT uživatele klíčem, který je odvozen z hesla účtu krbtgt AD domain. Účet krbtgt a jeho heslo jsou sdíleny mezi službami KDC všech DCs v doméně. Účet krbtgt je automaticky vytvořen jako součást procesu instalace reklamy dcpromo na prvním DC v doméně. Zobrazuje se v kontejneru uživatelů modulu snap-in uživatelů a počítačů služby Microsoft Management Console (MMC) Active Directory a je ve výchozím nastavení zakázán. Na rozdíl od jiných uživatelských účtů reklamy nelze účet krbtgt použít k interaktivnímu přihlášení k doméně. Protože se jedná o vestavěný účet, krbtgt také nelze přejmenovat.
řadič domény pouze pro čtení (RODC) je nový typ DC, který společnost Microsoft představila v systému Windows Server 2008. RODC hostí oddíly pouze pro čtení databáze reklam. Neukládá hashe hesel všech uživatelských účtů v doméně systému Windows; místo toho RODC ukládá pouze hashe hesel účtů, které jsou definovány v zásadách replikace hesel RODC (PRP). Tato metoda znamená, že kompromis RODC představuje mnohem menší riziko než kompromis klasického čtení / zápisu DC (RWDC), který drží kopie heslových hash všech uživatelských účtů v doméně. Proto může být RODC nasazen způsobem, který by mohl být považován za méně bezpečný. Organizace je obvykle nasazují v pobočkách nebo ve svých demilitarizovaných zónách (DMZ).
RODC funguje jako Kerberos KDC pro pobočku nebo DMZ, a jako takový také vyžaduje účet krbtgt. Aby bylo zajištěno, že krbtgt kompromitovaného RODC nelze využít k vyžádání vstupenek na jiné RODC nebo Rwdc, každý RODC má speciální místní účet krbtgt. Tento účet má formát krbtgt123, kde “ 123 “ je řetězec náhodných čísel. Tento náhodný řetězec jednoznačně identifikuje RODC a je generován při instalaci RODC.
různé místní účty krbtgt RODC v doméně jsou uloženy v AD a zobrazují se v Uživatelích a počítačích služby Active Directory pod kontejnerem Users. Všechny Rwdc v doméně také uchovávají kopii heslových hashů účtů krbtgt RODCs v doméně. Proto je TGT vydaný RODC platný pro vyžádání vstupenek na relace proti stejnému RODC a také proti jakémukoli jinému RWDC v doméně.
pokud RODC obdrží požadavek na lístek relace, který je založen na TGT, který není platný-což znamená, že TGT nebyl vydán samotným RODC-vrátí chybu Kerberos a požádá klientský počítač, aby požádal o nový požadavek TGT proti samotnému RODC. Pokud RODC nemá kopii hash hesla uživatele, RODC předá požadavek TGT rwdc. V tomto případě RODC funguje jako proxy, čímž předává odpověď z RWDC přímo do klientského počítače. Současně RODC spouští proces ukládání do mezipaměti hash uživatelského hesla, takže RODC bude moci v budoucnu vytvořit TGT pro daného uživatele. Caching uspěje, pokud RODC PRP umožňuje hash hesla uživatelského účtu do mezipaměti na RODC.
SOUVISEJÍCÍ: Jak nainstaluji a Nakonfiguruji řadič domény pouze pro čtení (RODC)?