Я пытаюсь понять, почему учетная запись междоменного доверия будет иметь значение учетной записи 2080 (INTERDOMAIN_TRUST_ACCOUNT - PASSWD_NOTREQD).
Во время обычного аудита, после того как мы недавно установили двунаправленное доверительное управление с дочерней компанией, один из наших аудиторов задал вопрос: «Что это за учетная запись и почему для нее не требуется пароль?»
Я копался в документации Microsoft и нашел довольно много информации о том, как сбрасываются пароли междоменных доверительных учетных записей, а также несколько списков всех возможных значений userAccountControl, но не конкретное объяснение этого значения.
В настоящее время я подозреваю, что это значение установлено для сценариев, когда обновление пароля инициируется и не выполняется. Поскольку старый пароль хранится в отдельном разделе реестра, и в случае неудачного обновления пароля учетная запись в доверяющем домене останется без пароля.
Буду признателен, если кто-нибудь сможет подтвердить это подозрение или исправить его. Если кто-нибудь может указать на более конкретную документацию, это также будет оценено.
Секреты доверия представлены специальными атрибутами на междоменных доверительных учетных записях, указывающими направление доверия, которое они обеспечивают.
Секреты входящего доверия хранятся в trustAuthIncoming
, на "доверенной" стороне траста
Секреты исходящего доверия хранятся в trustAuthOutgoing
, на "доверчивой" стороне траста
В особом случае двусторонних доверительных отношений (например, родительско-дочерних доверительных отношений или транзитивных доверительных отношений между внутренними лесами) INTERDOMAIN_TRUST_ACCOUNT
объект на каждой стороне траста будет иметь оба набора.
В отличие от обычных учетных записей компьютеров, на которых клиентский компьютер отвечает за инициирование изменения пароля, секреты доверия поддерживаются контроллером домена, обладающим ролью FSMO эмулятора PDC в домене-доверителе.
Каждые 7 дней PDCe будет генерировать и устанавливать новый секрет доверия, связываться с PDCe в доверенном домене и обновлять входящий секрет доверия. Все остальные контроллеры домена в доверенном домене будут реплицировать новый секрет, но чтобы гарантировать, что доверие не будет немедленно нарушено, пока не произойдет репликация, последний использованный секрет будет сохранен в базе данных SAM до следующего изменения.
Поскольку эта спецификация не подходит для большинства политик паролей, а также из-за того, что уникальный пароль / секрект сохраняется в направление не на TDO, INTERDOMAIN_TRUST_ACCOUNT
освобождается от пароля