我想了解为什么域间信任帐户的帐户值为2080(INTERDOMAIN_TRUST_ACCOUNT – PASSWD_NOTREQD)。
在例行审计中,我们最近与姊妹公司build立了双向信任后,我们的一位审计员问了一个问题:“这个帐户是什么,为什么不需要密码?”
我一直在挖掘微软的文档,我发现了很多有关如何重置域间信任帐户密码,以及所有可能的userAccountControl值的列表,但没有具体解释这个值。
我目前怀疑这个值被设置为覆盖密码更新启动失败的场景。 由于旧密码存储在一个单独的registry项中,并且失败的密码更新会在没有密码的情况下在信任域上留下帐户。
如果有人能证实这一怀疑或纠正,我将不胜感激。 如果任何人都可以指出更具体的文件,也将不胜感激。
信任机密由域间信任账户上的特殊属性表示,表明其所保护的信任的方向
入站信任机密存储在trustAuthIncoming ,信任的“可信”一侧
出站信任机密存储在信任的“信任”端的trustAuthOutgoing
在双向信任的特殊情况下(如内部森林之间的亲子信任或传递森林信托),信任INTERDOMAIN_TRUST_ACCOUNT对象都将被设置。
与客户端计算机负责启动密码更改的常规计算机帐户不同,信任秘密由具有信任域中PDC模拟器FSMOangular色的域控制器维护。
每隔7天,PDCe将生成并设置一个新的信任密钥,联系信任域中的PDCe,并更新传入的信任密钥。 受信任域中的所有其他域控制器都将复制新密钥,但要确保在复制发生之前不会立即中断信任,最后使用的密钥将保留在SAM数据库中,直到下一次更改。
由于此规范与大多数密码策略不相符,并且由于每个方向(而不是每个TDO)都维护一个唯一密码/保密的事实,所以INTERDOMAIN_TRUST_ACCOUNT不具有密码