R : Le protocole d’authentification Kerberos utilise des tickets de session chiffrés avec une clé symétrique dérivée du mot de passe du serveur ou du service auquel un utilisateur Windows demande l’accès. Pour demander un ticket de session, l’utilisateur doit présenter un ticket spécial, appelé ticket d’octroi de tickets (TGT) au service Kerberos Key Distribution Center (KDC) sur un contrôleur de domaine (DC). Tous les utilisateurs Windows obtiennent un TGT du KDC au début de leur session de connexion Windows après s’être authentifiés avec succès auprès du KDC en utilisant leur mot de passe.
Le KDC crypte le TGT d’un utilisateur avec une clé qu’il dérive du mot de passe du compte de domaine AD krbtgt. Le compte krbtgt et son mot de passe sont partagés entre les services KDC de tous les DCS d’un domaine. Le compte krbtgt est automatiquement créé dans le cadre du processus d’installation de la publicité dcpromo sur le premier DC d’un domaine. Il apparaît dans le conteneur Utilisateurs du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory de Microsoft Management Console (MMC) et est désactivé par défaut. Contrairement à d’autres comptes d’utilisateurs AD, le compte krbtgt ne peut pas être utilisé pour se connecter de manière interactive au domaine. Comme il s’agit d’un compte intégré, krbtgt ne peut pas non plus être renommé.
Un contrôleur de domaine en lecture seule (RODC) est un nouveau type de DC introduit par Microsoft dans Windows Server 2008. Un RODC héberge des partitions en lecture seule de la base de données AD. Il ne stocke pas les hachages de mot de passe de tous les comptes d’utilisateurs d’un domaine Windows; au lieu de cela, un RODC stocke uniquement les hachages de mot de passe des comptes définis dans la stratégie de réplication de mot de passe (PRP) du RODC. Cette méthode signifie que le compromis d’un RODC représente beaucoup moins de risque que le compromis d’un DC en lecture/écriture classique (RWDC) qui contient des copies des hachages de mots de passe de tous les comptes d’utilisateurs d’un domaine. C’est pourquoi un RODC peut être déployé d’une manière qui pourrait être considérée comme moins sûre. Les organisations les déploient généralement dans des succursales ou dans leurs zones démilitarisées (DMZ).
Un RODC agit comme un KDC Kerberos pour une succursale ou une DMZ, et en tant que tel, il nécessite également un compte krbtgt. Pour s’assurer que le krbtgt d’un RODC compromis ne peut pas être utilisé pour demander des tickets à d’autres RODC ou RWDC, chaque RODC dispose d’un compte krbtgt local spécial. Ce compte a le format krbtgt123, où « 123 » est une chaîne de nombres aléatoires. Cette chaîne aléatoire identifie de manière unique le RODC et est générée lorsqu’un RODC est installé.
Les différents comptes krbtgt locaux des RODC d’un domaine sont stockés dans AD et apparaissent dans les utilisateurs Active Directory et les ordinateurs sous le conteneur Utilisateurs. Tous les RWDC du domaine conservent également une copie des hachages de mots de passe des comptes krbtgt des RODC du domaine. Par conséquent, un TGT émis par un RODC est valide pour demander des tickets de session contre le même RODC et également contre tout autre RWDC du domaine.
Si un RODC reçoit une demande de ticket de session basée sur un TGT non valide – ce qui signifie que le TGT n’a pas été émis par le RODC lui-même – il renvoie une erreur Kerberos demandant à l’ordinateur client de demander une nouvelle demande TGT contre le RODC lui-même. Si le RODC n’a pas de copie du hachage du mot de passe de l’utilisateur, le RODC transmet la demande TGT à un RWDC. Dans ce cas, le RODC agit comme un proxy, par lequel il transmet la réponse du RWDC directement à l’ordinateur client. En même temps, le RODC déclenche le processus de mise en cache du hachage du mot de passe de l’utilisateur afin que le RODC puisse créer un TGT pour cet utilisateur particulier à l’avenir. La mise en cache réussit si le PRP du RODC permet de mettre en cache le hachage du mot de passe du compte utilisateur sur le RODC.
Connexes : Comment installer et configurer un contrôleur de domaine en lecture seule (RODC) ?