我试图了解为什么域间信任账户的账户值为 2080 (INTERDOMAIN_TRUST_ACCOUNT - PASSWD_NOTREQD)。
在我们最近与一家姊妹公司建立双向信任之后的一次例行审计中,我们的一位审计员提出了一个问题:“这个账户是什么,为什么它不需要密码?”
我一直在研究微软的文档,发现了很多关于如何重置域间信任帐户密码的内容,以及所有可能的 userAccountControl 值的几个列表,但没有对这个值的具体解释。
我目前怀疑此值被设置为涵盖启动密码更新并失败的情况。因为旧密码存储在单独的注册表项中,而密码更新失败会导致信任域上的帐户没有密码。
如果有人能证实或纠正我的怀疑,我将不胜感激。如果有人能指出更具体的文档,我也会很感激。
答案1
信任秘密由域间信任账户上的特殊属性表示,表明其所保护的信任的方向
入站信任机密存储在trustAuthIncoming,在信任的“受信任”一方
出站信任机密存储在trustAuthOutgoing,关于信托的“信任”端
在双向信任的特殊情况下(例如父子信任或内部林之间的传递林信任),INTERDOMAIN_TRUST_ACCOUNT信任每一侧的对象都将同时设置。
与常规计算机帐户(客户端计算机负责启动密码更改)不同,信任机密由信任域中拥有 PDC 模拟器 FSMO 角色的域控制器维护。
每 7 天,PDCe 将生成并设置新的信任密钥,联系受信任域中的 PDCe,并更新传入信任密钥。受信任域中的所有其他域控制器都将复制新密钥,但为了确保在复制发生之前信任不会立即中断,使用的最后一个密钥将保留在 SAM 数据库中,直到下一次更改。
由于此规范与大多数密码策略不太吻合,并且由于每个用户都维护唯一的密码/秘密,方向不符合 TDO 的,INTERDOMAIN_TRUST_ACCOUNT无需设置密码