Der Newbie 10 Geschrieben 18. August 2004 Melden Geschrieben 18. August 2004 Hallo, kann mir jemand erklären für was dieses Konto existiert? die kerberos tickets werden trotzdem erfolgreich ausgehandelt, trotz deaktiviertemkrbtgt Konto. MS Österreich sagt: Die Verwendung dieses Kontos durch mehr als einen Benutzer verletzt FAU_GEN.2, Benutzeridentitätszuordnung. Dieses Konto ist auf Domänencontrollern standardmäßig deaktiviert. Anforderung: Im Gegensatz zu anderen Konten kann das Konto krbtgt nicht für die Anmeldung bei einer Domäne verwendet und de facto nicht deaktiviert werden.
gr@mlin 10 Geschrieben 18. August 2004 Melden Geschrieben 18. August 2004 hi, Original geschrieben von Der Newbie ...kann mir jemand erklären für was dieses Konto existiert? dazu sollte man die kerberos-authentifizierung und ticketverteilung etwas genauer kennen. mit dem konto verschlüsselt das kdc die tgt's... hier gibts z.b. infos dazu: http://www.windowsitlibrary.com/Content/617/06/4.html gruss, gr@mlin
Der Newbie 10 Geschrieben 18. August 2004 Autor Melden Geschrieben 18. August 2004 hm...ich bin ja ein servernewbie. bedeutet das im Umkehrschluss, ein deaktiviertes Konto in der AD lässt andere Zugriffe zu? Weil die tickets werden laut logbuch ja ordentlich ausgegeben. Genehmigtes Dienstticket: Benutzername: Peter Benutzerdomäne: NEWBIE.DE Dienstname: NWB$ Dienstkennung: NEWBIE\NWB$ Ticketoptionen: 0x40810010 Ticketverschlüsselungstyp: 0x17 Clientadresse: 127.0.0.1 Dann müsste ich ja eigentlich alle nicht benötigten Konten löschen, ist das nicht ein sicherheitsrisiko????
gr@mlin 10 Geschrieben 18. August 2004 Melden Geschrieben 18. August 2004 hi, zitat aus dem von mir verlinkten artikel: ...In the Windows 2000 users and computers snap-in this account is always shown as disabled. ist also alles in ordnung. btw: das konto kannst du nicht löschen. gruss, gr@mlin
Der Newbie 10 Geschrieben 20. August 2004 Autor Melden Geschrieben 20. August 2004 Klar, hab ich auch nicht vor, vielleicht braucht man es ja mal.... ABer warum funktioniert dieser Dienst denn, oder hat das mit dem Konto nix zu tun?
gr@mlin 10 Geschrieben 20. August 2004 Melden Geschrieben 20. August 2004 ...In the Windows 2000 users and computers snap-in this account is always shown as disabled. ;)
Der Newbie 10 Geschrieben 20. August 2004 Autor Melden Geschrieben 20. August 2004 Gr@mlin, das hab ich ja kapiert. Ich habe aber noch ein Gedanklichen Knoten bei den Konten überhaupt. warum funktioniert der Kerberosdienst, WENN das Konto deaktiviert ist? Sprich gibt es da eine Hintertür? Oder hat das Konto Kerberos mit dem Kerberosdienst soviel zu tun, wie Backsteine mit Spahetti?
Velius 10 Geschrieben 20. August 2004 Melden Geschrieben 20. August 2004 Ist doch ganz einfach.... Entwerder braucht das Konto nicht aktiv zu sein, um seine Funktion auszuüben, oder es ist eine Ausnahme, und wird als deaktiviert angezeigt. In wahrheit aber, ist es aktiviert.....!!
Der Newbie 10 Geschrieben 21. August 2004 Autor Melden Geschrieben 21. August 2004 Was söll den das! Dann habe ich entweder die Sicherheitsfilosophie hinter dem AD und Co. falsch verstanden oder es ist alles nur eine vorgetäuschte Sicherheit! Wenn ich logisch vorgehe, ist das Konto ja NUR bei dem DC deaktiviert, da dieser ja die Kerberostickets ausgibt. Auf den Clients wird Kerberos wohl nur funktionieren, wenn dort dieses Konto existiert. Bin ja kein Profi, aber wenn ich das gerafft habe läuft der Hase so: Die Domäne ist der Chefe und Türsteher vor seiner Bude. Jetzt kommt da so ein picklicker Client und will in die Bude und muss am Türsteher vorbei. Dazu muss der ANMELDEDIENST laufen (ist die "Kundenkartei") auf dem Server. jetzt kommt der Client und sagt sein Spruch auf: Hi Server, ich bin PeterPaul und mein geheimes Password ist ********* (flüstert er dem Türsteher ins Ohr. Der schaut in sein Schwarzes AD-Buch findet dort PeterPaul und dahinter das Password, das übereinstimmt), der Server ruft: "Du kommst hier rein" Wird Kerberos genutzt hat er noch ein Ticket für die einzelnen Räume in der Bude und für die Nutzung der diversen für Ihn vorgesehenen Spielautomaten. Auf dem Ticket steht aber kein Name und keine Liste, was er darf sondern nur ein Verschlüsselter Code, damit kann der Client jetzt in der Serverbude rummachen und muss nicht dauernd seinen NAmen und sein Password wiederholen, (könnte ja einer zuhören). So hab ich das verstanden. JEtzt habe ich zwei Probleme: 1. Der Client müsste sich ja beim Anmelden 2x anmelden 2. Warum ist Microsoft nicht in der Lage bei einem DC dieses Konto garnicht erst anzulegen?
grizzly999 11 Geschrieben 21. August 2004 Melden Geschrieben 21. August 2004 Also zunächst mal: Kerberos ist doch ein wenig anders und komplzierter, als du es dir "zusammengebastelt" hast. Hier stehts recht ausführlich, wie es funktioniert. Lies mal durch, ist interessant: http://www.microsoft.com/windows2000/techinfo/howitworks/security/kerberos.asp Warum das krbtgt Konto deaktiviert ist und auch nicht aktivert werden kann, findet man auch bei Microsoft, wenn man mal danach sucht, man muss es nur mal tun ;) ;) http://support.microsoft.com/default.aspx?scid=kb;en-us;229909 http://support.microsoft.com/default.aspx?scid=kb;en-us;247008 grizzly999
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden