tb1 Asked: 2024-10-14 22:30:39 +0800 CST2024-10-14 22:30:39 +0800 CST 2024-10-14 22:30:39 +0800 CST AD 密码重置/同步时间要求以清除 RC4 772 我们有一个旧的AD 用户帐户,该帐户具有静态密码,用于多台机器上的计划任务和服务。我知道 gMSA 更好,并且正在单独安装它,但这个帐户需要再运行一段时间。 回到此帐户:我想更改密码以满足当前密码强度标准并确保 AES 哈希值,但我不确定是否需要在两次更改之间间隔 10 小时进行更改,或者是否可以连续更改密码并将密码更新推送到受影响的端点。 如果有人可以澄清 2x、10 小时间隙重置方法,或者是否可以为此目的背靠背进行,我将不胜感激。 谢谢! active-directory 2 个回答 Voted Best Answer u1686_grawity 2024-10-15T00:11:47+08:002024-10-15T00:11:47+08:00 回到此帐户:我想更改密码以满足当前密码强度标准并确保 AES 哈希值,但我不确定是否需要在两次更改之间间隔 10 小时进行更改,或者是否可以连续更改密码并将密码更新推送到受影响的端点。 10 小时的暂停是为了允许用户的 Kerberos 票证过期,因为它们默认具有 10 小时的有效期(至少在 AD 中)。 Kerberos 是一个共享密钥系统,其中帐户的密码哈希直接充当票证加密的对称密钥,当您的用户获取服务的票证时,这些票证将使用服务帐户的密钥(以及用户的密钥,但这不是重点)进行加密。 因此,更改服务帐户的密码(即更改两次以清除 AD 的密码历史记录)将使所有已颁发的票证无效,并将阻止拥有此类票证的用户访问该服务 - 我不能 100% 确定 Windows Kerberos 实现如何反应,但我的第一猜测是 KRB_AP_ERR_MODIFIED。 因此,如果您在工作日执行此操作,客户可能已经获得服务的票证,您应该首先只更改一次密码(并部署到服务器),以便旧票证对“旧”密钥1仍然有效;然后让旧票证自行过期(大约 10 小时或您的 AD 中配置的其他票证有效期),然后再次更改服务密码。 1请注意,尽管我不太确定密码历史记录在 AD 中如何运作(我更熟悉 Unix Kerberos 实现),但我认为这是正确的。 Greg Askew 2024-10-15T04:09:35+08:002024-10-15T04:09:35+08:00 krbtgt 帐户是需要更改两次密码的帐户,因此必须遵守更改之间的最短时间。这是因为 AD 允许该帐户使用当前密码和以前的密码。(类似于信任帐户)。 总结一下:不需要更改两次密码,如果现有的服务票证正在使用中,重置密码可能会产生影响。
10 小时的暂停是为了允许用户的 Kerberos 票证过期,因为它们默认具有 10 小时的有效期(至少在 AD 中)。
Kerberos 是一个共享密钥系统,其中帐户的密码哈希直接充当票证加密的对称密钥,当您的用户获取服务的票证时,这些票证将使用服务帐户的密钥(以及用户的密钥,但这不是重点)进行加密。
因此,更改服务帐户的密码(即更改两次以清除 AD 的密码历史记录)将使所有已颁发的票证无效,并将阻止拥有此类票证的用户访问该服务 - 我不能 100% 确定 Windows Kerberos 实现如何反应,但我的第一猜测是 KRB_AP_ERR_MODIFIED。
因此,如果您在工作日执行此操作,客户可能已经获得服务的票证,您应该首先只更改一次密码(并部署到服务器),以便旧票证对“旧”密钥1仍然有效;然后让旧票证自行过期(大约 10 小时或您的 AD 中配置的其他票证有效期),然后再次更改服务密码。
1请注意,尽管我不太确定密码历史记录在 AD 中如何运作(我更熟悉 Unix Kerberos 实现),但我认为这是正确的。
krbtgt 帐户是需要更改两次密码的帐户,因此必须遵守更改之间的最短时间。这是因为 AD 允许该帐户使用当前密码和以前的密码。(类似于信任帐户)。
总结一下:不需要更改两次密码,如果现有的服务票证正在使用中,重置密码可能会产生影响。