Meilleur auteur de réponses
Réinitialiser KRBTGT

Question
-
Bonjour les expert Microsoft,
On vient de récupérer un nouveau domaine. Les responsables de la sécurité nous exige de réinitialiser le mot de passe KRBTGT pour des raisons de sécurité.
Avant de exécuter cette tâche , je voudrais savoir l'impact et s'il y a des bonnes pratiques ou des prérequis à respecter.
Merci d'avance pour vos retours
je vous souhaite joyeux fêtes de fin d'année.
Réponses
-
Bonjour,
Pour réinitialiser le mot de passe krbtgt,:
- Il faut que le niveau fonctionnel du domaine soir 2008 ou plus.
- Aucun problème e de réplication entre les contrôleur de domaine R/W
- krbtgt garde les deux derniers mots dans l'historique , pour cela il est recommandé de changer le mot de passe deux fois , et avant de changer le mot de passe la deuxième fois , il faut attendre que le premièr changement soit répliqué sur tous les contrôleurs de domaine
- choisir un mot de passe compliqué
Pour information :
le mot de passe krbtgt est répliqué uniquement sur les DC R/W, chaque RODC possède son propre compte krbtgt pour gérer les demandes hereros.
Tous les tickets kerberos TGT déjà délivrés avant le changement de mot de passe krbtgt seront invalide, il faut que le client reçoit un autre ticket TGT pour accéder à une ressource via l'authentification kerberos.
pour purger les tickets kerberos lancer cette commande :klist purge
Voici un lien qui propose un script qui pourra vous aider :
KRBTGT Account Password Reset Scripts now available for customers
- Proposé comme réponse Claude Couderc lundi 26 décembre 2016 12:28
- Marqué comme réponse Nedeltcho PopovMicrosoft contingent staff mercredi 28 décembre 2016 09:37
-
Bonjour,
Je vous remercie pour cette réponse.
J'ai remarqué que le compte est désactivé. faut-il l'activer avant ?
Bonjour,
Ce compte doit être toujours désactivé et ne peut être que désactivé.
Ce compte est créé par défaut lors de l'installation du promier contrôleur de domaine dans le domaine.
On ne peut pas ni modifier , ni supprimer, ni activer le compte KRBTGT.
- Marqué comme réponse S.FABOT lundi 2 janvier 2017 15:26
Toutes les réponses
-
Bonjour,
Pour réinitialiser le mot de passe krbtgt,:
- Il faut que le niveau fonctionnel du domaine soir 2008 ou plus.
- Aucun problème e de réplication entre les contrôleur de domaine R/W
- krbtgt garde les deux derniers mots dans l'historique , pour cela il est recommandé de changer le mot de passe deux fois , et avant de changer le mot de passe la deuxième fois , il faut attendre que le premièr changement soit répliqué sur tous les contrôleurs de domaine
- choisir un mot de passe compliqué
Pour information :
le mot de passe krbtgt est répliqué uniquement sur les DC R/W, chaque RODC possède son propre compte krbtgt pour gérer les demandes hereros.
Tous les tickets kerberos TGT déjà délivrés avant le changement de mot de passe krbtgt seront invalide, il faut que le client reçoit un autre ticket TGT pour accéder à une ressource via l'authentification kerberos.
pour purger les tickets kerberos lancer cette commande :klist purge
Voici un lien qui propose un script qui pourra vous aider :
KRBTGT Account Password Reset Scripts now available for customers
- Proposé comme réponse Claude Couderc lundi 26 décembre 2016 12:28
- Marqué comme réponse Nedeltcho PopovMicrosoft contingent staff mercredi 28 décembre 2016 09:37
-
-
Bonjour,
Je vous remercie pour cette réponse.
J'ai remarqué que le compte est désactivé. faut-il l'activer avant ?
Bonjour,
Ce compte doit être toujours désactivé et ne peut être que désactivé.
Ce compte est créé par défaut lors de l'installation du promier contrôleur de domaine dans le domaine.
On ne peut pas ni modifier , ni supprimer, ni activer le compte KRBTGT.
- Marqué comme réponse S.FABOT lundi 2 janvier 2017 15:26
-
-
Attention au script proposé par le lien selon la langue avec laquelle Windows a été installé.
Par exemple ligne 52 il fait un rpcping :
Try {$RpcPingResult = rpcping.exe -s $Hostname -u 9 -a connect} # Attempt to RPCPING the target host
Ensuite ligne 62 il vérifie que le résultat contient completed :
If ($RpcPingResult -like "*Completed*") {Return (New-Object -TypeName PSObject -Property @{'Success'=$true; 'Message'="$Hostname - RPC connectivity successful."})}
Sauf que sur la version française le résultat pour indiquer OK est :
- Modifié Philippe BarthMVP, Moderator mardi 3 janvier 2017 13:20
-
-
-