Casanier, mais fenêtre ouverte sur le monde entier
Réinitialiser le mot de passe Krbtgt sur un Active Directory
Non classé
Réinitialiser le mot de passe Krbtgt sur un Active Directory
Non classé

Réinitialiser le mot de passe Krbtgt sur un Active Directory

Suite à un PingCastle dans une société, le mot de passe Krbtgt n’a jamais été changé : voici la procédure pour pouvoir le changer

Il faut télécharger ce SCRIPT :

Public-AD-Scripts/Reset-KrbTgt-Password-For-RWDCs-And-RODCs.ps1 at master · zjorz/Public-AD-Scripts · GitHub

Le mot de passe Kerberos est recommandé d’être changé tout les 365j, le changement s’effectue en deux étapes :
Un changement du mot de passe puis un second changement 10h plus tard.
Nous recommandons de faire la réinitialisation du mot de passe le vendredi soir et de le refaire le week-end meme.
Faire les mises à jour Windows UPDATE, il faut que les deux DC soient sur le même version de build

  • Lancer le script avec un compte Administrateur :
  • Voici le menu après le chargement du SCRIPT
  • Le mode n°1 va vérifier différentes choses, notamment : la présence des modules PowerShell nécessaires, le nom du domaine, le niveau fonctionnel du domaine, la durée maximale d’un ticket Kerberos, si tous les tickets basés sur la clé n-1 (mot de passe) sont expirés ainsi que la connectivité avec les différents DC.
  • Le mode n°2 va effectuer une simulation en créant des objets pour pouvoir vérifier si les AD sont interconnecté
  • Le mode n°3 va créer un utilisateur TEST virtuellement et réinitialiser le mot de passe virtuellement
  • Le mode N°4 va créer un utilisateur TEST réellement et réinitialiser le mot de passe réellement
  • Le mode N°5 va utilisé le compte Krbtgt réellement et réinitialiser le mot de passe virtuellement
  • Le mode N°6 va utilisé le compte Krbtgt réellement et réinitialiser le mot de passe réellement
  • Le mode N°8 va créer l »utilisateur TEST
  • Le mode N°9 va supprimer l »utilisateur TEST

Pour pouvoir réinitialiser le mot de passe nous allons utiliser le mode N°6 :

Faire entrer pour démarrer le processus

Renseigner le mode N°1 : pour appliquer la réinitialisation

Renseigner CONTINUE pour appliquer les paramètres

Voila le premier mot de passe est réinitialiser : nous devons attendre 10h pour pouvoir continuer le script
Pour pouvoir le vérifier vous pouvez relancer le script et voici le message
Sur l’image nous voyons sur la ligne Date/Time N-1 est à 2h34 à partir de 2H34 je pourrais relancer le script

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *