V: A Kerberos hitelesítési protokoll olyan munkamenetjegyeket használ, amelyek egy szimmetrikus kulccsal vannak titkosítva, amely annak a kiszolgálónak vagy szolgáltatásnak a jelszavából származik, amelyhez a Windows-felhasználó hozzáférést kér. Munkamenet-jegy igényléséhez a felhasználónak be kell mutatnia egy speciális jegyet, az úgynevezett ticket-granning ticket (TGT) a Kerberos Key Distribution Center (KDC) szolgáltatásnak egy tartományvezérlőn (DC). Minden Windows-felhasználó kap egy TGT-t a KDC-től a Windows bejelentkezési munkamenetének kezdetén, miután sikeresen hitelesítették a KDC-t a jelszavuk használatával.
a KDC titkosítja a felhasználó TGT-jét egy kulccsal, amely a krbtgt AD domain fiók jelszavából származik. A krbtgt-fiók és jelszava meg van osztva a tartomány összes DC-jének KDC-szolgáltatásai között. A krbtgt-fiók automatikusan létrejön a dcpromo AD telepítési folyamatának részeként a tartomány első DC-jén. A Microsoft Management Console (MMC) Active Directory felhasználók és számítógépek beépülő modul felhasználók tárolójában jelenik meg, és alapértelmezés szerint le van tiltva. Más hirdetési felhasználói fiókokkal ellentétben a krbtgt-fiók nem használható interaktív bejelentkezésre a tartományba. Mivel ez egy beépített fiók, a krbtgt sem nevezhető át.
a csak olvasható tartományvezérlő (RODC) egy új típusú DC, amelyet a Microsoft bevezetett A Windows Server 2008 rendszerben. Az RODC az AD-adatbázis csak olvasható partícióit tárolja. Nem tárolja a Windows tartomány összes felhasználói fiókjának jelszó-kivonatait; ehelyett egy RODC csak az RODC jelszó-replikációs házirendjében (PRP) meghatározott fiókok jelszó-kivonatait tárolja. Ez a módszer azt jelenti, hogy egy RODC kompromisszuma sokkal kisebb kockázatot jelent, mint egy klasszikus olvasási/írási DC (RWDC) kompromisszuma, amely a tartomány összes felhasználói fiókjának jelszó-kivonatának másolatát tárolja. Ezért lehet egy RODC-t olyan módon telepíteni, amely kevésbé biztonságosnak tekinthető. A szervezetek általában fióktelepeken vagy demilitarizált zónáikban (DMZ) telepítik őket.
a RODC Kerberos KDC-ként működik egy fiókirodában vagy DMZ-ben, és mint ilyen, krbtgt számlát is igényel. Annak biztosítása érdekében, hogy a veszélyeztetett RODC krbtgt-jét ne lehessen felhasználni arra, hogy jegyeket kérjen más RODC-khez vagy Rwdc-khez, minden RODC rendelkezik egy speciális helyi krbtgt-fiókkal. Ez a fiók krbtgt123 formátumú, ahol a “123” véletlenszerű számok sorozata. Ez a véletlenszerű karakterlánc egyedileg azonosítja a RUDC-t, és akkor jön létre, amikor egy RÚDC telepítve van.
a tartomány RODC-jeinek különböző helyi krbtgt-fiókjai az AD-ben vannak tárolva, és az Active Directory-felhasználók és számítógépek felhasználói tárolójában jelennek meg. A tartomány összes Rwdc-je megőrzi a tartományban lévő RODC-k krbtgt-fiókjainak jelszó-kivonatainak másolatát is. Ezért egy RODC által kiadott TGT érvényes munkamenetjegyek igénylésére ugyanazon RODC ellen, valamint a tartomány bármely más RWDC-jével szemben.
ha EGY RODC nem érvényes TGT-n alapuló munkamenet-jegykérelmet kap-ami azt jelenti, hogy a TGT-t nem maga a RODC adta ki -, akkor egy Kerberos hibát ad vissza, amely arra kéri az ügyfélszámítógépet, hogy kérjen új TGT-kérelmet magával a RODC-vel szemben. Ha a RODC nem rendelkezik a felhasználó jelszó kivonatának másolatával, akkor a RODC továbbítja a TGT kérést egy RWDC-nek. Ebben az esetben az RODC proxyként működik, amelynek során a választ az RWDC-ről közvetlenül az ügyfélszámítógépre továbbítja. Ugyanakkor a RODC elindítja a felhasználói jelszó hash gyorsítótárazásának folyamatát, hogy a RODC a jövőben képes legyen TGT-t létrehozni az adott felhasználó számára. A gyorsítótár sikeres, ha az RODC PRP-je lehetővé teszi a felhasználói fiók jelszó-kivonatának gyorsítótárazását az RODC-n.
kapcsolódó: Hogyan telepíthetem és konfigurálhatom a csak olvasható tartományvezérlőt (RODC)?
