Svar: Kerberos-godkjenningsprotokollen bruker øktbilletter som er kryptert med en symmetrisk nøkkel avledet fra passordet til serveren Eller tjenesten Som En Windows-bruker ber om tilgang til. For å be om en økt billett, må brukeren presentere en spesiell billett, kalt ticket-granting ticket (TGT) Til Kerberos Key Distribution Center (KDC) – tjenesten på en domenekontroller (DC). Alle Windows-brukere får EN TGT FRA KDC ved starten av Windows-påloggingsøkten etter at de har godkjent KDC ved å bruke passordet.
KDC krypterer en brukers TGT med en nøkkel den kommer fra passordet til krbtgt AD domain-kontoen. Krbtgt-kontoen og passordet deles mellom KDC-tjenestene til alle DCs i et domene. Krbtgt-kontoen opprettes automatisk som en del av installasjonsprosessen for DCPROMO-ANNONSEN på den første DC-EN i et domene. Den vises i Brukere-beholderen I snapin-modulen Microsoft Management Console (MMC) Active Directory-Brukere Og-Datamaskiner og er deaktivert som standard. I motsetning til ANDRE ANNONSEBRUKERKONTOER kan ikke krbtgt-kontoen brukes til å logge på domenet interaktivt. Fordi det er en innebygd konto, kan krbtgt heller ikke omdøpes.
EN skrivebeskyttet domenekontroller (RODC) er En NY TYPE DC Som Microsoft introduserte I Windows Server 2008. EN RODC vert skrivebeskyttet partisjoner AV ANNONSEDATABASEN. Det lagrer ikke passord hashes av alle brukerkontoer I Et Windows-domene; I stedet lagrer EN RODC bare passord hashes av kontoene som er definert I RODC Passord Replikering Policy (PRP). DENNE metoden betyr at kompromisset AV EN RODC representerer mye mindre risiko enn kompromisset av en KLASSISK lese/skrive DC (RWDC) som inneholder kopier av passord hashes av alle brukerkontoer i et domene. DERFOR KAN EN RODC distribueres på en måte som kan betraktes som mindre sikker. Organisasjoner distribuerer dem vanligvis i avdelingskontorer eller I Deres Demilitariserte soner (Dmz).
EN RODC fungerer Som En Kerberos KDC for et avdelingskontor eller DMZ, og som sådan krever det også en krbtgt-konto. For å sikre at krbtgt av en kompromittert RODC ikke kan utnyttes for å be om billetter til Andre RODCs eller RWDCs, HAR HVER RODC en spesiell lokal krbtgt-konto. Denne kontoen har formatet krbtgt123, hvor «123» er en streng av tilfeldige tall. Denne tilfeldige strengen identifiserer unikt RODC og genereres når EN RODC er installert.
De forskjellige lokale krbtgt-kontoene Til RODCs i et domene lagres I AD og vises I Active Directory-Brukere og Datamaskiner under Brukerbeholderen. Alle RWDCs i domenet også holde en kopi av passord hashes av krbtgt kontoer Av RODCs i domenet. Derfor er EN TGT som er utstedt AV EN RODC gyldig for å be om økt billetter mot samme RODC og også mot andre RWDC i domenet.
hvis EN RODC mottar en forespørsel om økt-billett som er basert på EN tgt som ikke er gyldig-noe som betyr AT TGT ikke ble utstedt av RODC selv-returnerer Den En Kerberos-feil som ber klientdatamaskinen om å be om en ny tgt-forespørsel mot RODC selv. HVIS RODC ikke har en kopi av brukerens passord hash, VIDERESENDER RODC tgt-forespørselen til EN RWDC. I DETTE tilfellet FUNGERER RODC som en proxy, hvorved den videresender svaret fra RWDC direkte til klientdatamaskinen. SAMTIDIG utløser RODC prosessen med å caching brukerens passord hash slik AT RODC vil kunne opprette EN TGT for den aktuelle brukeren i fremtiden. Caching lykkes hvis RODCS PRP tillater brukerkontoens passord hash å bli bufret på RODC.
Relatert: hvordan installerer Og konfigurerer JEG EN skrivebeskyttet domenekontroller (RODC)?