Skip to main content

Changement mot de passe du compte KRBTGT

C'est quoi ce compte ?

Le compte KRBTGT est un compte intégré et spécial dans Active Directory, indispensable au fonctionnement de Kerberos, le protocole d’authentification utilisé par Windows dans un domaine.

  • Le compte ne peut pas être supprimé (et il ne faut en aucun cas le faire).
  • Il se trouve dans l'OU Users/Utilisateurs
  • Il est utilisé pour chiffrer et signer les tickets Kerberos

Bonne pratique

Le mot de passe de KRBTGT ne se renouvelle pas automatiquement. Il est prudent de renouveler régulièrement le mot de passe de ce compte, dans des petits parcs, une fois tout les 6 mois est suffisant.

Attention, ce compte mémorise deux mots de passe (l'actuel et l'ancien) pour permettre la validité des tickets Kerberos déjà émis. Un ticket Kerberos a une durée de vie de 10H au maximum. Si on veut être sûr d'invalider l'ensemble des tickets Kerberos, il faut réinitialiser deux fois le mot de passe (en attendant au moins 10H pour n'avoir aucune perturbation pour les utilisateurs).

Script de réinitialisation

Pour faire cette modification, il existe un script PowerShell tout fait par ici :

GitHub de zjorz - Lien vers le script Reset_KRBTGT

Le script est en pièce jointe de la page en cas de disparition.

Exécution du script

Avant toute exécution de ce script, il faut s'assurer :

  1. De ne pas avoir de problème sur les contrôleurs de domaine (DCDIAG à exécuter sur chaque domaine)
  2. d'avoir une réplication entre contrôleurs de domaine totalement fonctionnelle
  3. D'avoir une sauvegarde du ou des contrôleurs de domaine.

Il existe plusieurs modes au script, il est conseillé de lire les explications lors des premiers usages, et de bien prendre son temps pour être sûr de réaliser les choses correctement.

En général il faut lancer le script et choisir d'abord le mode 8 (création d'un compte KRBTGT de test), puis ensuite le mode 4 qui va réaliser la modification du mode de passe sur le compte KRBTGT de test. Le mode 9 permet de supprimer les comptes de test.

Ne pas hésiter à prendre son temps, bien lire et voir si des messages d'erreurs apparaissent.

Au moindre message d'erreur, il ne faut pas lancer le script en mode production.

Si tout est OK, vous pouvez lancer le mode 6, qui va changer le mot de passe du compte KRBTGT UNE fois.

Pour être sur, le lancement d'un audit Ping Castle ou Purple Knight relève l'un et l'autre une date de réinitialisation du mot de passe trop ancienne sur le compte KRBTGT.

Back to top