Si bien hay mucha información [1] , krbtgt
, pero todavía no he encontrado una sugerencia clara sobre las cuentas krbtgt_xxxxx
específicas del RODC.
¿Deberían rotarse de forma similar a la cuenta normal krbtgt
?
En la parte inferior de este artículo enlace
- Si el RODC está configurado para almacenar contraseñas en caché, cambie la contraseña de la cuenta krbtgt _ ###### del RODC con regularidad (2 veces cada año). La secuencia de comandos krbtgt change de Microsoft no está adaptada a la cuenta krbtgt de RODC (el riesgo de cambiar la contraseña krbtgt de RODC es muy bajo). En Usuarios y computadoras de Active Directory, haga clic con el botón derecho en krbtgt _ ###### y cambie la contraseña (configúrela en casi cualquier cosa, Windows debería establecer automáticamente la contraseña en un valor aleatorio).
Si leyó el artículo, la cuenta krbtgt en un RODC es similar a la del dominio "real" (DC grabable), solo se limita a varios grupos de usuarios / computadoras, si se configuró correctamente. Por lo tanto, restablecer las cuentas de krbtgt de RODC también tiene sentido.
(Me pregunto por qué algo como esto no está incorporado en AD. Una casilla de verificación en algún lugar, para habilitar la rotación automática de todas esas cuentas krbtgt ... estaría bien :))
Lea otras preguntas en las etiquetas active-directory kerberos domain-controller