Passwort des Key Distribution Center Service Account ändern
Wenn eine Domäne aufgesetzt wird, ist das Passwort des Key Distribution Center Service Account „KRBTGT“, so alt wie der erste Domain Controller der in Betrieb genommen wurde.
Wenn die Domäne beispielsweise 5 Jahre läuft, dann ist auch das Passwort 5 Jahre alt.
Ist das sicher?
Was wenn der KRBTGT Master-Key bereits kompromittiert wurde?
Anleitung:
Powershell Skript:
Quelle: https://gallery.technet.microsoft.com/Reset-the-krbtgt-account-581a9e51
Englisches-OS:
SHA256: 1A4F5AC011B0957A740E557BB56BBA207187D0B9F58B2CDE4C16586B61A5C082
Deutsches-OS:
SHA256: 369703B7794C03E7E3D244B806F02E5977BEFEA037D7036D09EEEE2C70812580
Alternative Variante ganz klasssisch:
Import-Module ActiveDirectory
Set-ADAccountPassword -Identity (Get-ADUser krbtgt).DistinguishedName -Reset -NewPassword (ConvertTo-SecureString “Ranm3xComP@ssw0rd!” -AsPlainText -Force)