SV: Kerberos-godkendelsesprotokollen bruger sessionsbilletter, der er krypteret med en symmetrisk nøgle, der stammer fra adgangskoden til den server eller tjeneste, som en bruger anmoder om adgang til. For at anmode om en sessionsbillet skal brugeren præsentere en særlig billet, kaldet ticket-Grant ticket (TGT) til Kerberos Key Distribution Center (KDC) – tjenesten på en domænecontroller (DC). Alle brugere får en TGT fra KDC i starten af deres login-session, efter at de har godkendt til KDC ved hjælp af deres adgangskode.
KDC krypterer en brugers TGT med en nøgle, den stammer fra adgangskoden til krbtgt-annoncedomænekontoen. Krbtgt-kontoen og dens adgangskode deles mellem KDC-tjenesterne for alle DC ‘ er i et domæne. Krbtgt-kontoen oprettes automatisk som en del af dcpromo-ANNONCEINSTALLATIONSPROCESSEN på den første DC i et domæne. Det vises i beholderen brugere af Microsoft Management Console (MMC) Active Directory-brugere og computere snap-in og er deaktiveret som standard. I modsætning til andre ANNONCEBRUGERKONTI kan krbtgt-kontoen ikke bruges til at logge interaktivt på domænet. Da det er en indbygget konto, kan krbtgt heller ikke omdøbes.
en skrivebeskyttet domænecontroller (RODC)er en ny type DC, som Microsoft introducerede i 2008. En RODC er vært for skrivebeskyttede partitioner i ANNONCEDATABASEN. Det betyder ikke gemme adgangskode hashes af alle brugerkonti i et vindue domæne; i stedet en RODC gemmer kun adgangskode hashes af de konti, der er defineret i RODC adgangskode Replication Policy (PRP). Denne metode betyder, at kompromiset med en RODC repræsenterer meget mindre risiko end kompromiset med en klassisk læse/skrive DC (RDC), der indeholder kopier af adgangskodehashes for alle brugerkonti i et domæne. Derfor kan en RODC implementeres på en måde, der kan betragtes som mindre sikker. Organisationer typisk implementere dem i filialer eller i deres demilitariserede områder.
en RODC fungerer som en Kerberos KDC for et afdelingskontor, og som sådan kræver det også en krbtgt-konto. For at sikre, at krbtgt af en kompromitteret RODC ikke kan udnyttes til at anmode om billetter til andre RODC ‘er eller RDC’ er, har hver RODC en særlig lokal krbtgt-konto. Denne konto har formatet krbtgt123, hvor ” 123 ” er en streng af tilfældige tal. Denne tilfældige streng identificerer entydigt RODC og genereres, når en RODC er installeret.
de forskellige lokale krbtgt-konti for RODC ‘ erne i et domæne gemmes i AD og vises i Active Directory-brugere og-computere under brugerbeholderen. Alle RDC ‘er i domænet opbevarer også en kopi af adgangskodehashes af krbtgt-konti for RODC’ erne i domænet. Derfor er en TGT, der er udstedt af en RODC, gyldig til at anmode om sessionsbilletter mod den samme RODC og også mod enhver anden RDC i domænet.
hvis en RODC modtager en sessionsbilletanmodning, der er baseret på en TGT, der ikke er gyldig-hvilket betyder, at TGT ikke blev udstedt af RODC ‘en selv-returnerer den en Kerberos-fejl, der beder klientcomputeren om at anmode om en ny TGT-anmodning mod RODC’ en selv. Hvis RODC ikke har en kopi af brugerens adgangskodehash, videresender RODC TGT-anmodningen til en RDC. I dette tilfælde fungerer RODC som en fuldmagt, hvorved den videresender svaret fra RDC direkte til klientcomputeren. Samtidig udløser RODC processen med caching af brugeradgangskoden hash, så RODC vil være i stand til at oprette en TGT for den pågældende bruger i fremtiden. Caching lykkes, hvis RODCS PRP tillader, at brugerkontoens adgangskodehash cachelagres på RODC.
relateret: Hvordan installerer og konfigurerer jeg en skrivebeskyttet domænecontroller (RODC)?
