r: protocolul de autentificare Kerberos utilizează bilete de sesiune care sunt criptate cu o cheie simetrică derivată din parola serverului sau serviciului la care un utilizator Windows solicită acces. Pentru a solicita un bilet de sesiune, utilizatorul trebuie să prezinte un bilet special, numit bilet de acordare a biletelor (TGT) către Serviciul Kerberos key Distribution Center (KDC) de pe un controler de domeniu (DC). Toți utilizatorii Windows primesc un TGT de la KDC la începutul sesiunii de conectare Windows după ce se autentifică cu succes la KDC utilizând parola.
KDC criptează TGT-ul unui utilizator cu o cheie pe care o derivă din parola contului de domeniu krbtgt AD. Contul krbtgt și parola acestuia sunt partajate între serviciile KDC ale tuturor DCs dintr-un domeniu. Contul krbtgt este creat automat ca parte a procesului de instalare a anunțului dcpromo pe primul DC dintr-un domeniu. Acesta apare în containerul utilizatori din Microsoft Management Console (MMC) Active Directory Users and Computers snap-in și este dezactivat în mod implicit. Spre deosebire de alte conturi de utilizator AD, contul krbtgt nu poate fi utilizat pentru a vă conecta interactiv la domeniu. Deoarece este un cont încorporat, krbtgt nu poate fi redenumit.
un controler de domeniu numai în citire (RODC) este un nou tip de DC pe care Microsoft l-a introdus în Windows Server 2008. Un RODC găzduiește partiții numai în citire ale bazei de date AD. Nu stochează hash-urile de parolă ale tuturor conturilor de utilizator dintr-un domeniu Windows; în schimb, un RODC stochează numai hash-urile de parolă ale conturilor care sunt definite în Politica de replicare a parolei RODC (PRP). Această metodă înseamnă că compromisul unui RODC reprezintă un risc mult mai mic decât compromisul unui DC clasic de citire/scriere (RWDC) care deține copii ale hash-urilor de parolă ale tuturor conturilor de utilizator dintr-un domeniu. De aceea, un RODC poate fi implementat într-un mod care ar putea fi considerat mai puțin sigur. Organizațiile le desfășoară de obicei în filiale sau în zonele lor demilitarizate (DMZ).
un RODC acționează ca un Kerberos KDC pentru o sucursală sau DMZ și, ca atare, necesită și un cont krbtgt. Pentru a vă asigura că krbtgt al unui RODC compromis nu poate fi folosit pentru a solicita bilete la alte RODC sau Rwdc, fiecare RODC are un cont special krbtgt local. Acest cont are formatul krbtgt123, unde „123” este un șir de numere aleatorii. Acest șir aleatoriu identifică în mod unic RODC și este generat atunci când este instalat un RODC.
diferitele conturi krbtgt locale ale RODC-urilor dintr-un domeniu sunt stocate în AD și apar în utilizatorii și computerele Active Directory sub containerul utilizatori. Toate Rwdc-urile din domeniu păstrează, de asemenea, o copie a hash-urilor de parolă ale conturilor krbtgt ale RODC-urilor din domeniu. Prin urmare, un TGT emis de un RODC este valabil pentru solicitarea biletelor de sesiune împotriva aceluiași RODC și, de asemenea, împotriva oricărui alt RWDC din domeniu.
dacă un RODC primește o cerere de bilet de sesiune care se bazează pe un TGT care nu este valid-ceea ce înseamnă că TGT nu a fost emis de RODC în sine-returnează o eroare Kerberos solicitând computerului client să solicite o nouă cerere TGT împotriva RODC în sine. În cazul în care RODC nu are o copie a parolei hash utilizatorului, RODC transmite cererea TGT la un RWDC. În acest caz, RODC acționează ca un proxy, prin care transmite răspunsul de la RWDC direct la computerul client. În același timp, RODC declanșează procesul de cache hash parola de utilizator, astfel încât RODC va fi capabil de a crea un TGT pentru acel utilizator special, în viitor. Cache-ul reușește dacă PRP-ul RODC permite ca hash-ul parolei contului de utilizator să fie memorat în cache pe RODC.
Related: Cum instalez și configurez un controler de domeniu numai în citire (RODC)?