KRBTGT账户密码重置

您最后一次更改 KRBTGT 帐户密码是什么时候？如果您不知道答案，这很可能意味着这是一个不好的信号。您是否知道 Microsoft 建议至少每 180 天重置 KRBTGT 帐户密码？在本文中，我们将了解 KRBTGT 帐户以及如何使用 PowerShell 脚本重置密码。

KRBTGT账户

KRBTGT 帐户是本地默认帐户，充当密钥分发中心 (KDC) 服务的服务帐户。该帐户无法删除，也无法更改帐户名。无法在 Active Directory 中启用 KRBTGT 帐户。

KRBTGT 也是 KDC 用于 Windows Server 域的安全主体名称，如 RFC 4120 所指定。KRBTGT 帐户是 KRBTGT 安全主体的实体，在创建新域时自动创建。

注意：您必须至少每 180 天重置一次域中 KRBTGT 帐户的密码。

阅读有关现已可供客户使用的 KRBTGT 帐户密码重置脚本的 Microsoft 官方文章。

检查上次设置的 KRBTGT 帐户密码

启动 Active Directory 用户和计算机 (ADUC)。单击菜单栏中的查看并启用高级功能。

找到用户对象 krbtgt 并双击它以打开属性。单击属性编辑器选项卡。找到属性pwdLastSet。

注意：KRBTGT 帐户的 SID 为 S-1-5--502，默认情况下位于域中的 Users OU 中。 Microsoft 不建议将此帐户移动到另一个 OU。

在我们的示例中，KRBTGT 账户于 2020 年 12 月 28 日重置。

检查 KRBTGT 帐户密码上次设置时间的另一种方法是在 PowerShell 中运行 Get-ADUser cmdlet。

PS C:\> Get-ADUser "krbtgt" -Property Created, PasswordLastSet


Created           : 12/28/2020 11:59:33 PM
DistinguishedName : CN=krbtgt,CN=Users,DC=exoip,DC=local
Enabled           : False
GivenName         :
Name              : krbtgt
ObjectClass       : user
ObjectGUID        : fc7f7914-8bd5-4690-a20f-a31b616f9209
PasswordLastSet   : 12/28/2020 11:59:33 PM
SamAccountName    : krbtgt
SID               : S-1-5-21-977191366-1912192012-2791039455-502
Surname           :
UserPrincipalName :

KRBTGT账户密码重置更改频率

您多久需要重置一次KRBTGT账户密码？至少每 180 天重置一次 KRBTGT 帐户的密码。必须更改密码两次才能有效删除密码历史记录。更改一次、等待复制完成并再次更改可以降低出现问题的风险。快速连续更改两次会迫使客户端重新进行身份验证（包括应用程序服务），但如果怀疑存在泄露，则需要这样做。

重要提示：我们不建议将 PowerShell 脚本安排为自动化任务，因为多种环境原因可能会出现问题。

KRBTGT 帐户密码重置 PowerShell 脚本

登录域控制器或管理服务器。

从 GitHub 或直接下载 KRBTGT 密码重置脚本。官方脚本名称为 Reset-KrbTgt-Password-For-RWDCs-And-RODCs.ps1。在撰写本文时，它的版本是2.8。确保检查文件是否已解锁，以防止运行脚本时出现任何错误。请阅读文章运行 PowerShell 脚本时出现未数字签名错误来了解更多信息。

注意：版本 1 由 Jared Poeppelman (Microsoft) 编写。之后，Jorge de Almeida Pintore 重写了剧本，添加了大量功能，第二版就这样诞生了。我们建议使用版本 2。

将脚本放置在 C:\Scripts 文件夹中。如果没有 Scripts 文件夹，请创建一个。

以管理员身份运行 Windows PowerShell。更改脚本文件夹的路径并运行脚本。

PS C:\> cd C:\scripts
PS C:\scripts> .\Reset-KrbTgt-Password-For-RWDCs-And-RODCs.ps1

如果您想阅读脚本的信息、功能、行为和影响，则会显示 KRBTGT 密码重置脚本。单击是并浏览信息。

当您阅读完信息后，您将看到9 个选项可供选择。

我们将使用的是：

• 5 - 模拟模式 |使用 KrbTgt PROD/REAL 帐户 - 无密码重置/WhatIf 模式！

• 6 - 真实重置模式 |使用 KrbTgt PROD/REAL 帐户 - 密码将被重置一次！

注意：选项 5 不会对环境产生任何影响，只会向您显示将要发生的情况的所有详细信息。选项 6 将重置 KRBTGT 密码。

模拟模式

按选项5。

填写将作为目标的 AD 林 FQDN，或按 Enter 键选择当前 AD 林。我们希望以 exoip.local 森林为目标，也就是我们现在所在的森林。之后，按Enter。

填写将作为目标的 AD 域 FQDN，或按 Enter 键输入当前域。我们希望将目标域 exoip.local 定位为我们现在所在的域。之后，按Enter。

选择您要定位的 KRBTGT 帐户。选择1。输入继续并按Enter。

如果一切正常，请继续下一步。

真实复位模式

执行与上述相同的步骤。但是，这一次，请按选项6。

输出将显示为帐户 KRBTGT 设置了新密码。

KRBTGT 帐户密码重置脚本已成功为 KRBTGT 帐户设置新密码。

验证 KRBTGT 帐户密码是否已设置

启动 Active Directory 用户和计算机 (ADUC)。找到用户对象 krbtgt 并双击它以打开属性。单击属性编辑器选项卡。找到属性pwdLastSet。

在我们的示例中，我们可以验证 KRBTGT 帐户已于 2021 年 9 月 9 日（今天）成功重置。

重置KRBTGT账户密码两次

等待 AD 复制完成，然后执行相同的步骤更改 KRBTGT 密码。如果您有多个站点并且想要等待复制完成，那很好，建议这样做。然后等待第二天，运行脚本更改KRBTGT帐户密码。

必须更改密码两次才能有效删除密码历史记录。更改一次、等待复制完成并再次更改可以降低出现问题的风险。

第二次密码重置后，检查 KRBTGT 帐户 pwdLastSet 属性。

就是这样！

了解更多：启用自助密码重置 »

结论

您了解了如何重置 KRBTGT 帐户密码。首先在模拟模式下运行重置KRBTGT帐户密码PowerShell脚本。之后，在真实重置模式下运行 PowerShell 脚本。不要忘记等待 AD 复制完成并再次重新运行脚本以删除密码历史记录。

您喜欢这篇文章吗？您可能还喜欢使用 Azure AD Connect 强制密码同步。不要忘记关注我们并分享这篇文章。