Réinitialisation mot de passe compte KrbTGT

Le compte KRBTGT est un compte local par défaut qui agit comme un compte de service pour le service Centre de Distribution de clés (KDC). Ce compte ne peut pas être supprimé et le nom du compte ne peut pas être modifié. Le compte KRBTGT ne peut pas être activé dans Active Directory.

https://msdn.microsoft.com/fr-fr/library/dn745899(v=ws.11).aspx

Une seule modification du mot de passe du compte Krbtgt n’a pas d’impact sur l’authentification.

En revanche, si une seconde modification est désirée, il faut s’assurer que la première modification a bien été répliquée sur tous les contrôleurs de domaine, puis que tous les TGTs et TGS émis avec l’ancien mot de passe sont expiré.

Il faut donc compter :

(durée de réplication complète + expiration des TGTs + expiration des TGS)

Par défaut la durée d’expiration des TGTs est de 10 Heures.

Par défaut la durée d’expiration des TGS est de 600 minutes.

Maximum lifetime for service ticket

En cas de réplication forcée (via script repadmin /replicate par exemple), il faut compter ~20H avec les valeurs par défaut avant de réinitialiser une seconde fois le mot de passe.

Je recommande tout de même de laisser quelques jours pour s’assurer que tout a bien répliqué. Pour vérifier la réplication, la solution idéale consiste à vérifier la version de l’attribut unicodePwd de l’objet « CN=KrbTGT,CN=Users,#DefaultNamingContext »

Exemple Avant modification :

Exemple après modification :

Le NTHASH est stocké au niveau de l’attribut UnicodePwd. L’historique des mots de passe est stocké au niveau de l’attribut ntPwdHistory. Ainsi, il vous faut modifier une seconde fois le mot de passe du compte KrbTGT pour remplacer l’ancien mot de passe dont le hash serait alors présent dans l’attribut ntPwdHistory.

Une fois le délai nécessaire attendue, vous pouvez réinitialiser une seconde fois le mot de passe pour le compte KrbTGT.

La fréquence de modification du mot de passe est ensuite à votre appréciation. Il est recommandé d’effectuer cette action 2 à 4 fois par an.

En cas d’opération pouvant exposer le hash du mot de passe du compte krbtgt, une réinitialisation est à faire immédiatement !

Il est aussi important de rappeler que le compte KrbTGT est différent sur les RODC. Vous devez donc aussi réinitialisé ce compte pour chaque RODC.

Microsoft fournit un script et une documentation complète permettant de faire la réinitialisation du mot de passe pour le compte KrbTGT et vérifier les réplications :

https://gallery.technet.microsoft.com/Reset-the-krbtgt-account-581a9e51

Merci.