本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 保护 Simple AD 目录
本部分介绍了保护 Simple AD 环境的注意事项。
**Topics**
+ [如何重置 Simple AD krbtgt 账户密码](#simple_ad_reset_krbtgt_acct_pswd)
## 如何重置 Simple AD krbtgt 账户密码
krbtgt 账户在 Kerberos 票证交换中起着重要的作用。krbtgt 账户是用于 Kerberos 票证授予票证(TGT)加密的特殊账户,它对于 Kerberos 身份验证协议的安全性发挥着至关重要的作用。在 Samba AD 中,krbtgt 表示为(已禁用的)用户账户。此账户的密码是在配置域时随机生成的。访问此密钥可能会导致无法检测到整个域泄露,因为无需审核即可打印新的 Kerberos 票证。有关更多信息,请参阅 [Samba 文档](https://wiki.samba.org/index.php/Samba_Security_Documentation#Particularly_critical_secret_attributes)。
建议每 90 天定期更改一次此密码。您可以重置已加入 Simple AD 的 Amazon EC2 Windows 实例的 krbtgt 账户密码。
**注意**
AWS Simple AD 由 Samba-ad 提供支持。Samba-AD 不存储 krbtgt 账户的 N-1 哈希值。因此,重置 krbtgt 账户密码后,Kerberos 客户端需要在下一次服务票证(ST)请求期间协商新的票证授予票证(TGT)。为了最大限度地减少潜在的服务中断,您应该计划在工作时间以外进行 krbtgt 账户密码重置。这种方法可以减轻对持续运营的影响,并确保身份验证能顺利持续地进行。
以下过程显示了如何通过 Amazon EC2 实例 Windows 重置 krbtgt 账户密码。
**先决条件**
+ 在开始此过程之前,请完成以下操作:
+ 您已通过域将 EC2 实例加入 Simple AD 目录。
+ 有关如何将 EC2 Windows 实例加入 Simple AD 的更多信息,请参阅[将 Amazon EC2 Windows 实例加入 Simple AD Active Directory](simple_ad_launching_instance.md)。
+ 您拥有 Simple AD 目录管理员凭证。您将以 Simple AD 目录管理员身份登录来执行此过程。
**注意**
有些公司, AWS 服务 比如亚马逊 WorkDocs 和亚马逊 WorkSpaces,会代表你制作一个 Simple AD。
**重置 Simple AD krbtgt 账户密码**
1. 打开位于 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 的 Amazon EC2 控制台。
1. 在 Amazon EC2 控制台中,选择**实例**,然后选择 Windows 实例。然后选择**连接**。
1. 在**连接到实例**页面中,选择 **RDP 客户端**。
1. 在 **Windows 安全**对话框中,复制 Windows Server 计算机的本地管理员凭证以登录。用户名可以采用以下格式:`NetBIOS-Name\administrator` 或 `DNS-Name\administrator`。例如,如果您按照[创建 Simple AD](simple_ad_getting_started.md#how_to_create_simple_ad) 中的过程进行操作,则用户名将为 `corp\administrator`。
1. 登录 Windows Server 计算机后,从“开始”菜单中选择 **Windows 管理工具**文件夹,以打开 **Windows 管理工具**。
![\[Windows Server start menu showing administrative tools and system management options.\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_5.png)
1. 在“Windows 管理工具”控制面板中,通过选择 **Active Directory 用户和计算机**,打开 **Active Directory 用户和计算机**。
![\[Windows Administrative Tools dashboard showing various system management shortcuts.\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_6.png)
1. 在 **Active Directory 用户和计算机**窗口中,选择**查看**,然后选择**启用高级功能**。
![\[View menu options in a software interface, with "Advanced Features" selected.\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_7.png)
1. 在 **Active Directory 用户和计算机**窗口中,从左侧面板中选择**用户**。
![\[Active Directory Users and Computers folder structure with Users folder highlighted.\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_8.png)
1. 找到名为 **krbtgt** 的用户,右键单击该用户并选择**重置密码**。
![\[Context menu with options including Reset Password, Move, Open Home Page, and Send Mail.\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_9.png)
1. 在新窗口中,输入新密码,再次输入新密码,然后选择**确定**以重置 krbtgt 账户密码。
![\[Password reset dialog with fields for new password, confirmation, and account options.\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_10.png)
1. 在“Windows 管理工具”控制面板中,选择 **Active Directory 站点和服务**。
![\[Windows Administrative Tools folder showing various Active Directory management shortcuts.\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_11.png)
1. 在“Active Directory 站点和服务”窗口中,依次展开**站点**、**默认的第一个站点名称**和**服务器**。
![\[Active Directory Sites and Services window showing expanded hierarchy with NTDS Settings.\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_12.png)
1. 在“NTDS 设置”窗口中,右键单击服务器并选择**立即复制**。
![\[Context menu showing "Replicate Now" option selected for a server in NTDS Settings window.\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_13.png)
1. 对其他服务器重复步骤 13 至 14。