What’s the role of krbtgt account in Active Directory?
Dupa atatia ani de Active Directory inca se mai pune intrebarea asta si anume “la ce foloseste contul krbtgt?” sau “pot sa-l sterg?”. Ei bine, contul asta e ceva esential pentru functionarea AD, mai exact pentru functionarea protocolului Kerberos.
Daca studiati putin (exista o sumedenie de tutoriale pe net despre Kerberos) o sa vedeti ca la un moment dat userul (clientul) primeste un tichet numit TGT (Ticket Granting Ticket) ce ii permite ca ulterior sa ceara acces la alte servicii din retea.
Acest ticket TGT este criptat folosind informatii din parola contului krbtgt si cum toate DC-urile vor avea acest cont replicat, toate vor putea decripta TGT-ul cand este prezentat de clienti. Deci acest cont este un container pentru un “secret” folosit in protocolul Kerberos, asa ca nu va recomand sa va atingeti de el. Parola este setata automat de sistem si chiar daca incercati sa o schimbati, in spate sistemul de operare va genera o alta parola (un sir random destul de strong).
De regula parola sta neschimbata dar exista cazuri cand este necesara schimbarea ei (forest recovery, security breach) sau cand se schimba domain functional level (acest proces forteaza schimbarea parolei).
Mai jos aveti un exemplu cu repadmin, prin care puteti vedea de cate ori a fost schimbata parola si cand a fost ultima actualizare.
PS: acest cont este dezactivat by default si asa si trebuie sa ramana.