Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Sécurisez votre annuaire Simple AD
<a name="simple_ad_security"></a>

Cette section décrit les considérations relatives à la sécurisation de votre environnement Simple AD.

**Topics**
+ [Comment réinitialiser le mot de passe d'un compte Simple AD krbtgt](#simple_ad_reset_krbtgt_acct_pswd)

## Comment réinitialiser le mot de passe d'un compte Simple AD krbtgt
<a name="simple_ad_reset_krbtgt_acct_pswd"></a>

Le compte krbtgt joue un rôle important dans les échanges de billets Kerberos. Le compte krbtgt est un compte spécial utilisé pour le chiffrement des tickets d'octroi de tickets (TGT) Kerberos, et il joue un rôle crucial dans la sécurité du protocole d'authentification Kerberos. Dans Samba AD, krbtgt est représenté comme un compte utilisateur (désactivé). Le mot de passe de ce compte est généré de manière aléatoire au moment de la mise en service du domaine. L'accès à ce secret peut entraîner une compromission totale indétectable du domaine, car les nouveaux tickets Kerberos peuvent être imprimés sans audit. Pour plus d'informations, consultez la [documentation de Samba](https://wiki.samba.org/index.php/Samba_Security_Documentation#Particularly_critical_secret_attributes). 

 Il est recommandé de changer ce mot de passe régulièrement tous les 90 jours. Vous pouvez réinitialiser le mot de passe du compte krbtgt à partir d'une instance Amazon Windows EC2 jointe à votre Simple AD.

**Note**  
AWS Simple AD est développé par Samba-AD. Samba-AD ne stocke pas le hachage N-1 pour le compte krbtgt. Par conséquent, lorsque le mot de passe du compte krbtgt est réinitialisé, le client Kerberos devra négocier un nouveau ticket d'octroi de ticket (TGT) lors de sa prochaine demande de service ticket (ST). Pour minimiser les interruptions de service potentielles, vous devez planifier la réinitialisation du mot de passe du compte krbtgt en dehors des heures de bureau. Cette approche atténue les impacts sur les opérations en cours et garantit une continuité fluide de l'authentification.

Les procédures suivantes montrent comment réinitialiser le mot de passe du compte krbtgt à partir d'une instance Amazon Windows EC2.

**Conditions préalables**
+ Avant de commencer cette procédure, effectuez les opérations suivantes :
  + Vous avez joint un domaine à une instance EC2 à votre annuaire Simple AD.
    + Pour plus d'informations sur la façon de joindre une Windows instance EC2 à un Simple AD, consultez[Joindre une instance Windows Amazon EC2 à votre répertoire Simple AD Active Directory](simple_ad_launching_instance.md). 
  + Vous disposez des informations d'identification de l'administrateur de l'annuaire Simple AD. Vous allez vous connecter en tant qu'administrateur de l'annuaire Simple AD pour cette procédure.

**Note**  
Certains, Services AWS comme Amazon WorkDocs et Amazon WorkSpaces, créeront un Simple AD en votre nom.

**Réinitialiser le mot de passe du compte Simple AD krbtgt**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans la console Amazon EC2, choisissez **Instances** et sélectionnez l'instance de Windows serveur. Choisissez ensuite **Connect (Connecter)**.

1. Dans la page **Se connecter à l'instance**, sélectionnez **Client RDP**.

1. Dans la boîte **de dialogue de sécurité Windows**, copiez vos informations d'identification d'administrateur local pour que l'ordinateur Windows serveur puisse se connecter. Le nom d'utilisateur peut être dans les formats suivants : `NetBIOS-Name\administrator` ou`DNS-Name\administrator`. Par exemple, `corp\administrator` ce serait le nom d'utilisateur si vous avez suivi la procédure dans[Créez votre Simple AD](simple_ad_getting_started.md#how_to_create_simple_ad).

1. Une fois connecté à l'ordinateur Windows serveur, ouvrez les **outils d'Windowsadministration** dans le menu Démarrer en choisissant le dossier **Outils d'Windowsadministration**.  
![\[Windows Server start menu showing administrative tools and system management options.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_5.png)

1. Dans le tableau de bord des outils d'Windowsadministration, ouvrez **Utilisateurs et ordinateurs** **Active Directory en choisissant Utilisateur et ordinateurs** Active Directory.  
![\[Windows Administrative Tools dashboard showing various system management shortcuts.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_6.png)

1. Dans la fenêtre **Utilisateurs et ordinateurs Active Directory**, sélectionnez **Afficher**, puis sélectionnez **Activer les fonctionnalités avancées**.  
![\[View menu options in a software interface, with "Advanced Features" selected.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_7.png)

1. Dans la fenêtre **Utilisateurs et ordinateurs Active Directory**, sélectionnez **Utilisateurs** dans le panneau de gauche.  
![\[Active Directory Users and Computers folder structure with Users folder highlighted.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_8.png)

1. Trouvez l'utilisateur nommé **krbtgt**, cliquez dessus avec le bouton droit de la souris et sélectionnez **Réinitialiser** le mot de passe.  
![\[Context menu with options including Reset Password, Move, Open Home Page, and Send Mail.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_9.png)

1. Dans la nouvelle fenêtre, entrez le nouveau mot de passe, saisissez-le à nouveau, puis cliquez **sur OK** pour réinitialiser le mot de passe du compte krbtgt.  
![\[Password reset dialog with fields for new password, confirmation, and account options.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_10.png)

1. Dans le tableau de bord des outils d'Windowsadministration, sélectionnez **Sites et services Active Directory**.  
![\[Windows Administrative Tools folder showing various Active Directory management shortcuts.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_11.png)

1. **Dans la fenêtre Sites et services Active Directory, développez **Site**, **Default-First-Site-Name** et Servers.**  
![\[Active Directory Sites and Services window showing expanded hierarchy with NTDS Settings.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_12.png)

1. Dans la fenêtre des paramètres NTDS, cliquez avec le bouton droit sur le serveur et sélectionnez **Répliquer maintenant**.  
![\[Context menu showing "Replicate Now" option selected for a server in NTDS Settings window.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_13.png)

1. Répétez les étapes 13 à 14 pour vos autres serveurs.