保護您的 Simple AD 目錄 - AWS Directory Service
重設 krbtgt 帳戶密碼

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

保護您的 Simple AD 目錄

本節說明保護 Simple AD 環境的考量事項。

如何重設 Simple AD krbtgt 帳戶密碼

krbtgt 帳戶在 Kerberos 票證交換中扮演重要角色。krbtgt 帳戶是用於 Kerberos 票證授予票證 (TGT) 加密的特殊帳戶,在 Kerberos 身分驗證通訊協定的安全性中扮演關鍵角色。在 Samba AD 中,krbtgt 以 (已停用) 使用者帳戶表示。此帳戶的密碼會在佈建網域時隨機產生。存取此秘密可能會導致無法偵測的網域總數遭到入侵,因為新的 Kerberos 票證可以在不進行稽核的情況下列印。如需詳細資訊,請參閱 Samba 文件

建議每 90 天定期變更此密碼。您可以從加入 Simple AD 的 Amazon EC2 Windows執行個體重設 krbtgt 帳戶密碼。

注意

AWS Simple AD 採用 Samba-AD 技術。Samba-AD 不會儲存 krbtgt 帳戶的 N-1 雜湊。因此,當 krbtgt 帳戶密碼重設時,Kerberos 用戶端將需要在下次服務票證 (ST) 請求期間交涉新的票證授予票證 (TGT)。為了將潛在的服務中斷降至最低,您應該在上班時間之外排定 krbtgt 帳戶密碼重設。此方法可減輕對持續操作的影響,並確保順暢的身分驗證持續性。

下列程序說明如何從 Amazon EC2 Windows執行個體重設 krbtgt 帳戶密碼。

先決條件

  • 在開始此程序之前,請先完成下列步驟:

注意

有些 Amazon WorkDocs 和 Amazon WorkSpaces AWS 服務 等 會代表您建立 Simple AD。

重設 Simple AD krbtgt 帳戶密碼

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在 Amazon EC2 主控台中,選擇執行個體,然後選取Windows伺服器執行個體。然後選擇 連線

  3. 連線至執行個體頁面中,選擇 RDP 用戶端

  4. Windows 安全對話方塊中,複製您的本機管理員登入資料,供Windows伺服器電腦登入。使用者名稱可以是下列格式: NetBIOS-Name\administratorDNS-Name\administrator。例如,如果您遵循 中的程序, corp\administrator 會是使用者名稱建立您的 Simple AD

  5. 登入Windows伺服器電腦後,從開始功能表選擇Windows管理工具資料夾來開啟Windows管理工具

    Windows Server start menu showing administrative tools and system management options.

  6. 在Windows管理工具儀表板中,選擇Active Directory使用者和電腦來開啟Active Directory使用者和電腦

    Windows Administrative Tools dashboard showing various system management shortcuts.

  7. Active Directory使用者和電腦視窗中,選取檢視,然後選擇啟用進階功能

    View menu options in a software interface, with "Advanced Features" selected.

  8. Active Directory使用者和電腦視窗中,從左側面板選取使用者

    Active Directory Users and Computers folder structure with Users folder highlighted.

  9. 尋找名為 krbtgt 的使用者,在使用者上按一下滑鼠右鍵,然後選取重設密碼

    Context menu with options including Reset Password, Move, Open Home Page, and Send Mail.

  10. 在新視窗中,輸入新密碼,再次輸入,然後選擇確定以重設 krbtgt 帳戶密碼。

    Password reset dialog with fields for new password, confirmation, and account options.

  11. 在Windows管理工具儀表板中,選擇Active Directory網站和服務

    Windows Administrative Tools folder showing various Active Directory management shortcuts.

  12. 在Active Directory站台和服務視窗中,展開站台Default-First-Site-Name伺服器

    Active Directory Sites and Services window showing expanded hierarchy with NTDS Settings.

  13. 在 NTDS 設定視窗中,在伺服器上按一下滑鼠右鍵,然後選取立即複寫

    Context menu showing "Replicate Now" option selected for a server in NTDS Settings window.

  14. 針對其他伺服器重複步驟 13 - 14。