s: Kerberos-autentiseringsprotokollet använder sessionsbiljetter som är krypterade med en symmetrisk nyckel som härrör från lösenordet för servern eller tjänsten som en Windows-användare begär åtkomst till. För att begära en sessionsbiljett måste användaren presentera en särskild biljett, kallad ticket-Grant ticket (TGT) till Kerberos Key Distribution Center (KDC) – tjänsten på en domänkontrollant (DC). Alla Windows-användare får en TGT från KDC i början av sin Windows-inloggningssession efter att de lyckats autentisera till KDC med hjälp av sitt lösenord.
KDC krypterar en användares TGT med en nyckel som härrör från lösenordet för krbtgt AD domain-kontot. Krbtgt-kontot och dess lösenord delas mellan KDC-tjänsterna för alla DCs i en domän. Krbtgt-kontot skapas automatiskt som en del av dcpromo AD-installationsprocessen på den första DC i en domän. Den visas i användarbehållaren i Microsoft Management Console (MMC) Active Directory-användare och datorer snapin-modulen och är inaktiverad som standard. Till skillnad från andra AD-användarkonton kan krbtgt-kontot inte användas för att logga in interaktivt på domänen. Eftersom det är ett inbyggt konto kan krbtgt inte heller bytas om.
en skrivskyddad domänkontrollant (RODC) är en ny typ av DC som Microsoft introducerade i Windows Server 2008. En RODC är värd för skrivskyddade partitioner i ANNONSDATABASEN. Det lagrar inte lösenordshashar för alla användarkonton i en Windows-domän; istället lagrar en RODC endast lösenordshashar för kontona som definieras i RODC: s Lösenordsreplikeringspolicy (PRP). Denna metod innebär att kompromissen med en RODC representerar mycket mindre risk än kompromissen med en klassisk läs/skriv DC (RWDC) som innehåller kopior av lösenordshashar för alla användarkonton i en domän. Därför kan en RODC användas på ett sätt som kan anses vara mindre säkert. Organisationer distribuerar dem vanligtvis i filialer eller i deras demilitariserade zoner (DMZ).
en RODC fungerar som en Kerberos KDC för ett filialkontor eller DMZ, och som sådan kräver det också ett krbtgt-konto. För att säkerställa att krbtgt för en komprometterad RODC inte kan utnyttjas för att begära biljetter till andra RODC eller Rwdc, har varje RODC ett särskilt lokalt krbtgt-konto. Detta konto har formatet krbtgt123, där ”123” är en sträng av slumptal. Denna slumpmässiga sträng identifierar unikt RODC och genereras när en RODC installeras.
de olika lokala krbtgt-kontona för RODC: erna i en domän lagras i AD och visas i Active Directory-användare och datorer under Användarbehållaren. Alla Rwdc: er i domänen behåller också en kopia av lösenordshasharna för krbtgt-kontona för RODC: erna i domänen. Därför är en TGT som utfärdas av en RODC giltig för att begära sessionsbiljetter mot samma RODC och även mot någon annan RWDC i domänen.
om en RODC tar emot en sessionsbiljettförfrågan som är baserad på en TGT som inte är giltig-vilket innebär att TGT inte utfärdades av RODC själv-returnerar det ett Kerberos-fel som ber klientdatorn att begära en ny TGT-begäran mot RODC själv. Om RODC inte har en kopia av användarens lösenordshash, vidarebefordrar RODC TGT-begäran till en RWDC. I detta fall fungerar RODC som en proxy, varigenom den vidarebefordrar svaret från RWDC direkt till klientdatorn. Samtidigt utlöser RODC processen att cacha användarens lösenordshash så att RODC kommer att kunna skapa en TGT för den specifika användaren i framtiden. Cachningen lyckas om RODC: s PRP tillåter att användarkontots lösenordshash cachas på RODC.
relaterat: Hur installerar och konfigurerar jag en skrivskyddad domänkontrollant (RODC)?
