本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
保護您的 Simple AD 目錄
本節說明保護 Simple AD 環境的考量事項。
如何重設 Simple AD krbtgt 帳戶密碼
krbtgt 帳戶在 Kerberos 票證交換中扮演重要角色。krbtgt 帳戶是用於 Kerberos 票證授予票證 (TGT) 加密的特殊帳戶,在 Kerberos 身分驗證通訊協定的安全性中扮演重要角色。在 Samba AD 中,krbtgt 會以 (停用) 使用者帳戶表示。此帳戶的密碼會在佈建網域時隨機產生。存取此秘密可能會導致無法偵測的網域總入侵,因為新的 Kerberos 票證可以在不進行稽核的情況下列印。如需詳細資訊,請參閱 Samba 文件
建議每 90 天定期變更此密碼。您可以從 Amazon 重設 krbtgt 帳戶密碼 EC2 Windows 已加入 Simple AD 的 執行個體。
注意
AWS Simple AD 由 Samba-AD 提供支援。Samba-AD 不會儲存 krbtgt 帳戶的 N-1 雜湊。因此,當 krbtgt 帳戶密碼重設時,Kerberos 用戶端將需要在下次服務票證 (STTGT) 請求期間交涉新的票證授予票證 ()。為了將潛在的服務中斷降至最低,您應該在營業時間之外排定 krbtgt 帳戶密碼重設。此方法可減輕對進行中操作的影響,並確保順暢的身分驗證持續性。
下列程序說明如何從 Amazon 重設 krbtgt 帳戶密碼 EC2 Windows 執行個體。
必要條件
-
在開始此程序之前,請完成下列步驟:
-
您已將網域加入 Simple AD 目錄的EC2執行個體。
-
如需如何加入 的詳細資訊 EC2 Windows 執行個體到 Simple AD,請參閱 將 Amazon EC2 Windows 執行個體加入您的 Simple AD Active Directory。
-
-
您有 Simple AD 目錄管理員憑證。您將以此程序的 Simple AD 目錄管理員身分登入。
-
注意
有些像 Amazon WorkDocs 和 Amazon AWS 服務 一樣 WorkSpaces, 會代表您建立 Simple AD。
重設 Simple AD krbtgt 帳戶密碼
在 開啟 Amazon EC2主控台https://console.aws.amazon.com/ec2/
。 -
在 Amazon EC2主控台中,選擇執行個體並選取 Windows 伺服器執行個體。然後選擇 連線。
-
在連線至執行個體頁面中,選擇RDP用戶端 。
-
在 Windows Security 對話方塊中,複製 的本機管理員憑證 Windows 要登入的伺服器電腦。使用者名稱可以採用下列格式:
NetBIOS-Name\administrator或DNS-Name\administrator。例如,如果您遵循 中的程序,corp\administrator會是使用者名稱建立您的 Simple AD。 -
登入 後 Windows 伺服器電腦,開啟 Windows 選擇開始功能表中的管理工具 Windows 管理工具資料夾。
-
在 中 Windows 管理工具儀表板,開啟 Active Directory 使用者和電腦選擇 Active Directory 使用者 和電腦 。
-
在 中Active Directory 使用者和電腦視窗,選取檢視,然後選擇啟用進階功能 。
-
在 中Active Directory 使用者和電腦視窗,從左側面板中選取使用者。
-
尋找名為 krbtgt 的使用者,用滑鼠右鍵按一下該使用者,然後選取重設密碼 。
-
在新視窗中,輸入新密碼,再次輸入,然後選擇確定以重設 krbtgt 帳戶密碼。
-
在 中 Windows 管理工具儀表板,選擇 Active Directory 網站和服務。
-
在 中 Active Directory 站台和服務視窗,展開站台 、Default-First-Site-Name 和伺服器 。
-
在NTDS設定視窗中,用滑鼠右鍵按一下伺服器,然後選取立即複寫 。
-
針對其他伺服器重複步驟 13 - 14。
