Dav*_*dus 6 active-directory user-accounts
我试图了解为什么域间信任帐户的帐户值为 2080 (INTERDOMAIN_TRUST_ACCOUNT – PASSWD_NOTREQD)。
在例行审计中,我们最近与一家姊妹公司建立了双向信托后,我们的一位审计员提出了一个问题:“这个账户是什么,为什么不需要密码?”
我一直在挖掘 Microsoft 的文档,我发现了很多关于如何重置域间信任帐户密码的内容,以及所有可能的 userAccountControl 值的几个列表,但没有对此值的具体解释。
我目前怀疑此值设置为涵盖启动密码更新并失败的情况。由于旧密码存储在单独的注册表项中,并且密码更新失败会在信任域上留下一个没有密码的帐户。
如果有人能证实或纠正这种怀疑,我将不胜感激。如果有人可以指出更具体的文档,那也将不胜感激。
Mat*_*sen 10
信任秘密由域间信任帐户上的特殊属性表示,指示其保护的信任方向
入站信任机密存储在trustAuthIncoming, 信任的“受信任”端
出站信任机密存储在trustAuthOutgoing, 信任的“信任”端
在双向信任的特殊情况下(如父子信任或内部林之间的传递林信任)INTERDOMAIN_TRUST_ACCOUNT,信任每一侧的对象都将同时设置。
与客户端计算机负责启动密码更改的常规计算机帐户不同,信任机密由在信任域中拥有 PDC 模拟器 FSMO 角色的域控制器维护。
每 7 天,PDCe 会生成并设置一个新的信任秘密,联系信任域中的 PDCe,并更新传入的信任秘密。受信任域中的所有其他域控制器将复制新的机密,但为了确保在复制发生之前不会立即破坏信任,最后使用的机密将保留在 SAM 数据库中,直到下一次更改。
由于此规范不适用于大多数密码策略,并且由于每个方向而不是每个 TDO都维护唯一的密码/secrect 的事实,因此INTERDOMAIN_TRUST_ACCOUNT无需密码
| 归档时间: |
|
| 查看次数: |
3632 次 |
| 最近记录: |