本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
保護您的 Simple AD 目錄
本節說明保護 Simple AD 環境的考量事項。
如何重設 Simple AD krbtgt 帳戶密碼
krbtgt 帳戶在 Kerberos 票證交換中扮演重要角色。krbtgt 帳戶是用於 Kerberos 票證授予票證 (TGT) 加密的特殊帳戶,在 Kerberos 身分驗證通訊協定的安全性中扮演關鍵角色。在 Samba AD 中,krbtgt 以 (已停用) 使用者帳戶表示。此帳戶的密碼會在佈建網域時隨機產生。存取此秘密可能會導致無法偵測的網域整體入侵,因為新的 Kerberos 票證無需稽核即可列印。如需詳細資訊,請參閱 Samba 文件
建議每 90 天定期變更此密碼。您可以從加入 Simple AD 的 Amazon EC2 Windows執行個體重設 krbtgt 帳戶密碼。
注意
AWS Simple AD 採用 Samba-AD 技術。Samba-AD 不會儲存 krbtgt 帳戶的 N-1 雜湊。因此,當 krbtgt 帳戶密碼重設時,Kerberos 用戶端將需要在下次服務票證 (ST) 請求期間交涉新的票證授予票證 (TGT)。為了將潛在的服務中斷降至最低,您應該在上班時間之外排定 krbtgt 帳戶密碼重設。此方法可減輕對持續操作的影響,並確保順暢的身分驗證持續性。
下列程序說明如何從 Amazon EC2 Windows執行個體重設 krbtgt 帳戶密碼。
先決條件
-
請先完成下列步驟,才能開始此程序:
-
您已將 EC2 執行個體加入您的 Simple AD 目錄的網域。
-
如需如何將 EC2 Windows執行個體加入 Simple AD 的詳細資訊,請參閱 將 Amazon EC2 Windows 執行個體加入您的 Simple AD Active Directory。
-
-
您有 Simple AD 目錄管理員登入資料。您將以此程序的 Simple AD 目錄管理員身分登入。
-
注意
有些 AWS 服務 例如 Amazon WorkDocs 和 Amazon WorkSpaces, 會代表您建立 Simple AD。
重設 Simple AD krbtgt 帳戶密碼
前往 https://console.aws.amazon.com/ec2/
開啟 Amazon EC2 主控台。 -
在 Amazon EC2 主控台中,選擇執行個體,然後選取Windows伺服器執行個體。然後選擇 連線。
-
在連線至執行個體頁面中,選擇 RDP 用戶端。
-
在 Windows 安全對話方塊中,複製Windows伺服器電腦的本機管理員登入資料以登入。使用者名稱可以是下列格式:
NetBIOS-Name\administrator或DNS-Name\administrator。例如,如果您遵循 中的程序,corp\administrator會是使用者名稱建立您的 Simple AD。 -
登入Windows伺服器電腦後,從開始功能表選擇Windows管理工具資料夾,開啟Windows管理工具。
-
在Windows管理工具儀表板中,選擇 Active Directory 使用者和電腦來開啟 Active Directory 使用者和電腦。
-
在 Active Directory 使用者和電腦視窗中,選取檢視,然後選擇啟用進階功能。
-
在 Active Directory 使用者和電腦視窗中,從左側面板中選取使用者。
-
尋找名為 krbtgt 的使用者,按一下滑鼠右鍵,然後選取重設密碼。
-
在新視窗中,輸入新密碼,再次輸入,然後選擇確定以重設 krbtgt 帳戶密碼。
-
在Windows管理工具儀表板中,選擇 Active Directory 網站和服務。
-
在 Active Directory 站台和服務視窗中,展開站台、Default-First-Site-Name和伺服器。
-
在 NTDS 設定視窗中,在伺服器上按一下滑鼠右鍵,然後選取立即複寫。
-
針對其他伺服器重複步驟 13 - 14。
