Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Protección del directorio de Simple AD
<a name="simple_ad_security"></a>

En esta sección, se describen las consideraciones para proteger su entorno de Simple AD.

**Topics**
+ [Cómo restablecer la contraseña de la cuenta krbtgt de Simple AD](#simple_ad_reset_krbtgt_acct_pswd)

## Cómo restablecer la contraseña de la cuenta krbtgt de Simple AD
<a name="simple_ad_reset_krbtgt_acct_pswd"></a>

La cuenta krbtgt desempeña un papel importante en los intercambios de tickets Kerberos. La cuenta krbtgt es una cuenta especial que se utiliza para la encriptación del ticket de concesión de ticket (TGT) en Kerberos y desempeña un papel fundamental en la seguridad del protocolo de autenticación Kerberos. En Samba AD, krbtgt se representa como una cuenta de usuario (deshabilitada). La contraseña de esta cuenta se genera de manera aleatoria en el momento en que se aprovisiona el dominio. El acceso al secreto puede poner en peligro la totalidad del dominio de forma indetectable, ya que se pueden imprimir nuevos tickets de Kerberos sin necesidad de auditarlos. Para obtener más información, consulte [Samba documentation](https://wiki.samba.org/index.php/Samba_Security_Documentation#Particularly_critical_secret_attributes). 

 Se recomienda cambiar esta contraseña con regularidad cada 90 días. Puede restablecer la contraseña de la cuenta krbtgt desde una instancia de Amazon EC2 en Windows que esté vinculada a su Simple AD.

**nota**  
AWS Simple AD funciona con Samba-AD. Samba-AD no almacena el hash N-1 de la cuenta krbtgt. Por lo tanto, cuando se restablece la contraseña de la cuenta krbtgt, el cliente de Kerberos deberá negociar un nuevo ticket de concesión de ticket (TGT) en su próxima solicitud de ticket de servicio (ST). Para minimizar posibles interrupciones en el servicio, debe programar el restablecimiento de la contraseña de la cuenta krbtgt fuera del horario laboral. Este enfoque mitiga los impactos en las operaciones en curso y garantiza una continuidad fluida en la autenticación.

En los siguientes procedimientos, se muestra cómo puede restablecer la contraseña de la cuenta krbtgt desde una instancia de Amazon EC2 en Windows.

**Requisitos previos**
+ Antes de comenzar con este procedimiento, debe completar los siguientes pasos previos:
  + Ha vinculado una instancia de EC2 al dominio del directorio de Simple AD.
    + Para obtener más información sobre cómo vincular una instancia de EC2 en Windows a un Simple AD, consulte [Vinculación de una instancia de Windows de Amazon EC2 a Simple Active Directory (Simple AD)](simple_ad_launching_instance.md). 
  + Tiene las credenciales de administrador del directorio Simple AD. Para este procedimiento, iniciará sesión como administrador del directorio Simple AD.

**nota**  
Algunos, Servicios de AWS como Amazon WorkDocs y Amazon WorkSpaces, crearán un Simple AD en tu nombre.

**Restablecimiento de la contraseña de la cuenta krbtgt de Simple AD**

1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. En la consola de Amazon EC2, seleccione **Instancias** y elija la instancia de Windows Server. A continuación, elija **Conectar**.

1. En la página **Conectarse a la instancia**, elija **Cliente RDP**.

1. En el cuadro de diálogo **Seguridad de Windows**, copie sus credenciales de administrador local para el equipo Windows Server e inicie sesión. El nombre de usuario puede tener los siguientes formatos: `NetBIOS-Name\administrator` o `DNS-Name\administrator`. Por ejemplo, `corp\administrator` sería el nombre de usuario si hubiera seguido el procedimiento indicado en [Creación de Simple AD](simple_ad_getting_started.md#how_to_create_simple_ad).

1. Una vez que haya iniciado sesión en el equipo de Windows Server, abra **Herramientas administrativas de Windows** desde el menú de inicio y seleccione la carpeta **Herramientas administrativas de Windows**.  
![\[Windows Server start menu showing administrative tools and system management options.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_5.png)

1. En el panel Herramientas administrativas de Windows, abra **Usuarios y equipos de Active Directory** y seleccione **Usuarios y equipos de **.  
![\[Windows Administrative Tools dashboard showing various system management shortcuts.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_6.png)

1. En la ventana **Usuarios y equipos de Active Directory**, seleccione **Ver** y luego elija **Habilitar características avanzadas**.  
![\[View menu options in a software interface, with "Advanced Features" selected.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_7.png)

1. En la ventana **Usuarios y equipos de Active Directory**, seleccione **Usuarios** en el panel izquierdo.  
![\[Active Directory Users and Computers folder structure with Users folder highlighted.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_8.png)

1. Busque el usuario llamado **krbtgt**, haga clic con el botón derecho sobre él y seleccione **Restablecer contraseña**.  
![\[Context menu with options including Reset Password, Move, Open Home Page, and Send Mail.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_9.png)

1. En la nueva ventana, introduzca la nueva contraseña, vuelva a escribirla y, a continuación, pulse **Aceptar** para restablecer la contraseña de la cuenta krbtgt.  
![\[Password reset dialog with fields for new password, confirmation, and account options.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_10.png)

1. En el panel Herramientas administrativas de Windows, elija **Sitios y servicios de Active Directory**.  
![\[Windows Administrative Tools folder showing various Active Directory management shortcuts.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_11.png)

1. En la ventana Sitios y servicios de Active Directory, amplíe **Sitio**, **Default-First-Site-Name** y **Servidores**.  
![\[Active Directory Sites and Services window showing expanded hierarchy with NTDS Settings.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_12.png)

1. En la ventana Configuración de NTDS, haga clic derecho sobre el servidor y seleccione **Replicar ahora**.  
![\[Context menu showing "Replicate Now" option selected for a server in NTDS Settings window.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_13.png)

1. Repita los pasos 13 y 14 para sus otros servidores.