本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 保護您的 Simple AD 目錄
本節說明保護 Simple AD 環境的考量事項。
**Topics**
+ [如何重設 Simple AD krbtgt 帳戶密碼](#simple_ad_reset_krbtgt_acct_pswd)
## 如何重設 Simple AD krbtgt 帳戶密碼
krbtgt 帳戶在 Kerberos 票證交換中扮演重要角色。krbtgt 帳戶是用於 Kerberos 票證授權票證 (TGT) 加密的特殊帳戶,在 Kerberos 身分驗證通訊協定的安全性中扮演重要角色。在 Samba AD 中,krbtgt 以 (已停用) 使用者帳戶表示。此帳戶的密碼會在佈建網域時隨機產生。存取此秘密可能會導致無法偵測的完整網域入侵,因為新的 Kerberos 票證無需稽核即可列印。如需詳細資訊,請參閱 [Samba 文件](https://wiki.samba.org/index.php/Samba_Security_Documentation#Particularly_critical_secret_attributes)。
建議每 90 天定期變更此密碼。您可以從加入 Simple AD 的 Amazon EC2 Windows執行個體重設 krbtgt 帳戶密碼。
**注意**
AWS Simple AD 採用 Samba-AD 技術。Samba-AD 不會儲存 krbtgt 帳戶的 N-1 雜湊。因此,當 krbtgt 帳戶密碼重設時,Kerberos 用戶端將需要在下次服務票證 (ST) 請求期間交涉新的票證授予票證 (TGT)。為了將潛在的服務中斷降至最低,您應該在上班時間之外排定 krbtgt 帳戶密碼重設。此方法可減輕對持續操作的影響,並確保順暢的身分驗證持續性。
下列程序說明如何從 Amazon EC2 Windows執行個體重設 krbtgt 帳戶密碼。
**先決條件**
+ 在開始此程序之前,請先完成下列各項:
+ 您已將網域加入 EC2 執行個體到您的 Simple AD 目錄。
+ 如需如何將 EC2 Windows執行個體加入 Simple AD 的詳細資訊,請參閱 [將 Amazon EC2 Windows 執行個體加入您的 Simple AD Active Directory](simple_ad_launching_instance.md)。
+ 您有 Simple AD 目錄管理員登入資料。您將以此程序的 Simple AD 目錄管理員身分登入。
**注意**
有些 AWS 服務 例如 Amazon WorkDocs 和 Amazon WorkSpaces, 會代表您建立 Simple AD。
**重設 Simple AD krbtgt 帳戶密碼**
1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。
1. 在 Amazon EC2 主控台中,選擇**執行個體**,然後選取Windows伺服器執行個體。然後選擇 **連線**。
1. 在**連線至執行個體**頁面中,選擇 **RDP 用戶端**。
1. 在 **Windows 安全**對話方塊中,複製Windows伺服器電腦的本機管理員登入資料以登入。使用者名稱可以是下列格式: `NetBIOS-Name\administrator`或 `DNS-Name\administrator`。例如,如果您遵循 中的程序, `corp\administrator` 會是使用者名稱[建立您的 Simple AD](simple_ad_getting_started.md#how_to_create_simple_ad)。
1. 登入Windows伺服器電腦後,從開始功能表選擇**Windows管理工具**資料夾,開啟**Windows管理工具**。
![\[Windows Server start menu showing administrative tools and system management options.\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_5.png)
1. 在Windows管理工具儀表板中,選擇 **Active Directory 使用者和電腦**來開啟 **Active Directory 使用者和電腦**。
![\[Windows Administrative Tools dashboard showing various system management shortcuts.\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_6.png)
1. 在 **Active Directory 使用者和電腦**視窗中,選取**檢視**,然後選擇**啟用進階功能**。
![\[View menu options in a software interface, with "Advanced Features" selected.\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_7.png)
1. 在 **Active Directory 使用者和電腦**視窗中,從左側面板中選取**使用者**。
![\[Active Directory Users and Computers folder structure with Users folder highlighted.\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_8.png)
1. 尋找名為 **krbtgt** 的使用者,在使用者上按一下滑鼠右鍵,然後選取**重設密碼**。
![\[Context menu with options including Reset Password, Move, Open Home Page, and Send Mail.\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_9.png)
1. 在新視窗中,輸入新密碼,再次輸入,然後選擇**確定**以重設 krbtgt 帳戶密碼。
![\[Password reset dialog with fields for new password, confirmation, and account options.\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_10.png)
1. 在Windows管理工具儀表板中,選擇 **Active Directory 網站和服務**。
![\[Windows Administrative Tools folder showing various Active Directory management shortcuts.\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_11.png)
1. 在 Active Directory 站台和服務視窗中,展開**站台**、**Default-First-Site-Name**和**伺服器**。
![\[Active Directory Sites and Services window showing expanded hierarchy with NTDS Settings.\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_12.png)
1. 在 NTDS 設定視窗中,在伺服器上按一下滑鼠右鍵,然後選取**立即複寫**。
![\[Context menu showing "Replicate Now" option selected for a server in NTDS Settings window.\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_13.png)
1. 針對其他伺服器重複步驟 13 - 14。