Alles zum Thema Windows Clients für den Desktop: Windows 95 / 98 / NT / 2000 / XP / Vista / Win 7 — Q & A zu den Windows Client Versionen sowie Windows Media Center / Windows Home Server
kann mir jemand erklären für was dieses Konto existiert?
die kerberos tickets werden trotzdem erfolgreich ausgehandelt, trotz deaktiviertemkrbtgt Konto.
MS Österreich sagt:
Die Verwendung dieses Kontos durch mehr als einen
Benutzer verletzt FAU_GEN.2,
Benutzeridentitätszuordnung.
Dieses Konto ist auf Domänencontrollern
standardmäßig deaktiviert.
Anforderung:
Im Gegensatz zu anderen Konten kann das Konto
krbtgt nicht für die Anmeldung bei einer Domäne
verwendet und de facto nicht deaktiviert werden.
Re: krbtgt Dienstkonto des Schlüsselverteilungscenter
hi,
Original geschrieben von Der Newbie ...kann mir jemand erklären für was dieses Konto existiert?
dazu sollte man die kerberos-authentifizierung und ticketverteilung etwas genauer kennen.
mit dem konto verschlüsselt das kdc die tgt's...
hier gibts z.b. infos dazu: http://www.windowsitlibrary.com/Content/617/06/4.html
Ist doch ganz einfach....
Entwerder braucht das Konto nicht aktiv zu sein, um seine Funktion auszuüben, oder es ist eine Ausnahme, und wird als deaktiviert angezeigt. In wahrheit aber, ist es aktiviert.....!!
Dann habe ich entweder die Sicherheitsfilosophie hinter dem AD und Co. falsch verstanden oder es ist alles nur eine vorgetäuschte Sicherheit!
Wenn ich logisch vorgehe, ist das Konto ja NUR bei dem DC deaktiviert, da dieser ja die Kerberostickets ausgibt.
Auf den Clients wird Kerberos wohl nur funktionieren, wenn dort dieses Konto existiert.
Bin ja kein Profi, aber wenn ich das gerafft habe läuft der Hase so:
Die Domäne ist der Chefe und Türsteher vor seiner Bude.
Jetzt kommt da so ein picklicker Client und will in die Bude und muss am Türsteher vorbei.
Dazu muss der ANMELDEDIENST laufen (ist die "Kundenkartei") auf dem Server. jetzt kommt der Client und sagt sein Spruch auf:
Hi Server, ich bin PeterPaul und mein geheimes Password ist ********* (flüstert er dem Türsteher ins Ohr. Der schaut in sein Schwarzes AD-Buch findet dort PeterPaul und dahinter das Password, das übereinstimmt), der Server ruft:
"Du kommst hier rein"
Wird Kerberos genutzt hat er noch ein Ticket für die einzelnen Räume in der Bude und für die Nutzung der diversen für Ihn vorgesehenen Spielautomaten. Auf dem Ticket steht aber kein Name und keine Liste, was er darf sondern nur ein Verschlüsselter Code, damit kann der Client jetzt in der Serverbude rummachen und muss nicht dauernd seinen NAmen und sein Password wiederholen, (könnte ja einer zuhören).
So hab ich das verstanden. JEtzt habe ich zwei Probleme:
1. Der Client müsste sich ja beim Anmelden 2x anmelden
2. Warum ist Microsoft nicht in der Lage bei einem DC dieses Konto garnicht erst anzulegen?
Also zunächst mal: Kerberos ist doch ein wenig anders und komplzierter, als du es dir "zusammengebastelt" hast.
Hier stehts recht ausführlich, wie es funktioniert. Lies mal durch, ist interessant: http://www.microsoft.com/windows2000...y/kerberos.asp
