Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Proteggi la tua directory Simple AD
<a name="simple_ad_security"></a>

Questa sezione descrive le considerazioni per proteggere l'ambiente Simple AD.

**Topics**
+ [Come reimpostare la password di un account Simple AD krbtgt](#simple_ad_reset_krbtgt_acct_pswd)

## Come reimpostare la password di un account Simple AD krbtgt
<a name="simple_ad_reset_krbtgt_acct_pswd"></a>

L'account krbtgt svolge un ruolo importante negli scambi di biglietti Kerberos. L'account krbtgt è un account speciale utilizzato per la crittografia Kerberos ticket-granting ticket (TGT) e svolge un ruolo cruciale nella sicurezza del protocollo di autenticazione Kerberos. In Samba AD, krbtgt è rappresentato come un account utente (disabilitato). La password di questo account viene generata casualmente al momento del provisioning del dominio. L'accesso a questo segreto può comportare una compromissione totale e non rilevabile del dominio, poiché i nuovi ticket Kerberos possono essere stampati senza alcun controllo. [Per ulteriori informazioni, consulta la documentazione di Samba.](https://wiki.samba.org/index.php/Samba_Security_Documentation#Particularly_critical_secret_attributes) 

 Si consiglia di cambiare questa password regolarmente ogni 90 giorni. Puoi reimpostare la password dell'account krbtgt da un'istanza Amazon Windows EC2 unita al tuo Simple AD.

**Nota**  
AWS Simple AD è alimentato da Samba-AD. Samba-AD non memorizza l'hash N-1 per l'account krbtgt. Pertanto, quando la password dell'account krbtgt viene reimpostata, al client Kerberos verrà richiesto di negoziare un nuovo Ticket Granting Ticket (TGT) durante la successiva richiesta di Service Ticket (ST). Per ridurre al minimo le potenziali interruzioni del servizio, è necessario pianificare la reimpostazione della password dell'account krbtgt al di fuori dell'orario lavorativo. Questo approccio mitiga gli impatti sulle operazioni in corso e garantisce una continuità dell'autenticazione senza intoppi.

Le seguenti procedure mostrano come reimpostare la password dell'account krbtgt da un'istanza Amazon Windows EC2.

**Prerequisiti**
+ Prima di iniziare questa procedura, completa quanto segue:
  + Hai aggiunto un dominio a un'istanza EC2 alla tua directory Simple AD.
    + Per ulteriori informazioni su come unire un'Windowsistanza EC2 a un Simple AD, consulta[Unire un'istanza Windows di Amazon EC2 al tuo Simple AD Active Directory](simple_ad_launching_instance.md). 
  + Hai le credenziali di amministratore della directory Simple AD. Effettuerai l'accesso come amministratore della directory Simple AD per questa procedura.

**Nota**  
Alcuni, Servizi AWS come Amazon WorkDocs e Amazon WorkSpaces, creeranno un Simple AD per tuo conto.

**Reimpostazione della password dell'account Simple AD krbtgt**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nella console Amazon EC2, scegli **Istanze e seleziona l'istanza** del Windows server. Quindi scegliere **Connetti**.

1. Nella pagina **Collega all'istanza**, scegli **Client RDP**.

1. Nella finestra **di dialogo Sicurezza di Windows**, copia le credenziali di amministratore locale per il computer Windows Server a cui accedere. Il nome utente può avere i seguenti formati: `NetBIOS-Name\administrator` o`DNS-Name\administrator`. Ad esempio, `corp\administrator` sarebbe il nome utente se hai seguito la procedura in[Crea il tuo Simple AD](simple_ad_getting_started.md#how_to_create_simple_ad).

1. Una volta effettuato l'accesso al computer Windows Server, apri **Strumenti di Windows amministrazione** dal menu Start scegliendo la cartella **Strumenti di Windows amministrazione**.  
![\[Windows Server start menu showing administrative tools and system management options.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_5.png)

1. Nella dashboard Strumenti di Windows amministrazione, apri **Utenti e computer di Active Directory scegliendo Utenti e computer** **di Active Directory**.  
![\[Windows Administrative Tools dashboard showing various system management shortcuts.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_6.png)

1. Nella finestra **Utenti e computer di Active Directory**, seleziona **Visualizza**, quindi scegli **Abilita funzionalità avanzate**.  
![\[View menu options in a software interface, with "Advanced Features" selected.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_7.png)

1. Nella finestra **Utenti e computer di Active Directory**, seleziona **Utenti** dal pannello di sinistra.  
![\[Active Directory Users and Computers folder structure with Users folder highlighted.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_8.png)

1. Trova l'utente denominato **krbtgt**, fai clic con il pulsante destro del mouse su di esso e seleziona **Reimposta password**.  
![\[Context menu with options including Reset Password, Move, Open Home Page, and Send Mail.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_9.png)

1. Nella nuova finestra, inserisci la nuova password, inseriscila di nuovo, quindi scegli **OK** per reimpostare la password dell'account krbtgt.  
![\[Password reset dialog with fields for new password, confirmation, and account options.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_10.png)

1. Nella dashboard Strumenti di Windows amministrazione, scegli **Siti e servizi di Active Directory**.  
![\[Windows Administrative Tools folder showing various Active Directory management shortcuts.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_11.png)

1. **Nella finestra Siti e servizi di Active Directory, espandi **Site**, **Default-First-Site-Name** e Servers.**  
![\[Active Directory Sites and Services window showing expanded hierarchy with NTDS Settings.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_12.png)

1. **Nella finestra Impostazioni NTDS, fai clic con il pulsante destro del mouse sul server e seleziona Replica ora.**  
![\[Context menu showing "Replicate Now" option selected for a server in NTDS Settings window.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_13.png)

1. Ripeti i passaggi da 13 a 14 per gli altri server.