

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Sichern Sie Ihr Simple AD AD-Verzeichnis
<a name="simple_ad_security"></a>

In diesem Abschnitt werden Überlegungen zur Sicherung Ihrer Simple AD AD-Umgebung beschrieben.

**Topics**
+ [So setzen Sie ein Simple AD krbtgt-Kontopasswort zurück](#simple_ad_reset_krbtgt_acct_pswd)

## So setzen Sie ein Simple AD krbtgt-Kontopasswort zurück
<a name="simple_ad_reset_krbtgt_acct_pswd"></a>

Das krbtgt-Konto spielt bei den Kerberos-Ticketbörsen eine wichtige Rolle. Das krbtgt-Konto ist ein spezielles Konto, das für die Verschlüsselung von Kerberos-Tickets (TGT) verwendet wird. Es spielt eine entscheidende Rolle für die Sicherheit des Kerberos-Authentifizierungsprotokolls. In Samba AD wird krbtgt als (deaktiviertes) Benutzerkonto dargestellt. Das Passwort für dieses Konto wird bei der Bereitstellung der Domain zufällig generiert. Der Zugriff auf dieses Geheimnis kann dazu führen, dass die gesamte Domäne nicht nachweisbar ist, da neue Kerberos-Tickets ohne Prüfung gedruckt werden können. [Weitere Informationen finden Sie in der Samba-Dokumentation.](https://wiki.samba.org/index.php/Samba_Security_Documentation#Particularly_critical_secret_attributes) 

 Es wird empfohlen, dieses Passwort regelmäßig alle 90 Tage zu ändern. Sie können das Passwort für das krbtgt-Konto von einer Amazon EC2 Windows EC2-Instance zurücksetzen, die mit Ihrem Simple AD verbunden ist.

**Anmerkung**  
AWS Simple AD wird von Samba-AD unterstützt. Samba-AD speichert keinen N-1-Hash für das krbtgt-Konto. Wenn das Passwort für das krbtgt-Konto zurückgesetzt wird, muss der Kerberos-Client daher bei seiner nächsten Service Ticket (ST) -Anfrage ein neues Ticket Granting Ticket (TGT) aushandeln. Um mögliche Serviceunterbrechungen zu minimieren, sollten Sie das Zurücksetzen des Kennworts für das krbtgt-Konto außerhalb der Geschäftszeiten planen. Dieser Ansatz minimiert die Auswirkungen auf den laufenden Betrieb und gewährleistet eine reibungslose Kontinuität der Authentifizierung.

Die folgenden Verfahren zeigen, wie Sie das Passwort für das krbtgt-Konto von einer Amazon EC2 Windows EC2-Instance aus zurücksetzen können.

**Voraussetzungen**
+ Bevor Sie mit diesem Verfahren beginnen können, gehen Sie wie folgt vor:
  + Sie haben eine EC2-Instance mit Ihrem Simple AD AD-Verzeichnis domänenverknüpft.
    + Weitere Informationen zum Verbinden einer Windows EC2-Instance mit einem Simple AD finden Sie unter[Hinzufügen einer Amazon EC2 EC2-Windows-Instance zu Ihrem Simple AD Active Directory](simple_ad_launching_instance.md). 
  + Sie haben die Administratoranmeldedaten für das Simple AD AD-Verzeichnis. Für dieses Verfahren melden Sie sich als Simple AD AD-Verzeichnisadministrator an.

**Anmerkung**  
Einige, AWS-Services wie Amazon WorkDocs und Amazon WorkSpaces, erstellen in Ihrem Namen eine Simple AD.

**Setzen Sie das Simple AD krbtgt-Kontopasswort zurück**

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie in der Amazon EC2 EC2-Konsole **Instances** und dann die Windows Server-Instance aus. Wählen Sie dann **Verbinden** aus.

1. Wählen Sie auf der Seite **Mit Instance verbinden** die Option **RDP-Client** aus.

1. Kopieren Sie im **Windows-Sicherheitsdialogfeld** Ihre lokalen Administratoranmeldedaten für den Windows Servercomputer, um sich anzumelden. Der Benutzername kann die folgenden Formate haben: `NetBIOS-Name\administrator` oder`DNS-Name\administrator`. Dies `corp\administrator` wäre beispielsweise der Benutzername, wenn Sie das Verfahren in befolgen würden[Erstellen Sie Ihr Simple AD](simple_ad_getting_started.md#how_to_create_simple_ad).

1. Nachdem Sie sich am Windows Servercomputer angemeldet haben, öffnen Sie im Startmenü die Option **WindowsVerwaltung**, indem Sie den Ordner **WindowsVerwaltungstools** auswählen.  
![Das Windows-Startmenü zeigt den Ordner Windows-Verwaltungstools, der um Systemtools erweitert wurde.](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_5.png)

1. Öffnen Sie im Dashboard mit den Windows Verwaltungstools die Option **Active Directory-Benutzer und -Computer**, indem Sie **Active Directory-Benutzer und -Computer** auswählen.  
![Der Ordner Windows-Verwaltungstools mit der Verknüpfung Active Directory-Benutzer und -Computer.](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_6.png)

1. Wählen Sie im Fenster „**Active Directory-Benutzer und -Computer**“ die Option „**Ansicht**“ und anschließend „**Erweiterte Funktionen aktivieren**“ aus.  
![Menü „Ansicht“ mit ausgewählter Option „Erweiterte Funktionen“.](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_7.png)

1. Wählen Sie im Fenster „**Active Directory-Benutzer und -Computer**“ im linken Bereich die Option **Benutzer** aus.  
![Navigationsstruktur für Active Directory-Benutzer und -Computer, wobei der Ordner Benutzer hervorgehoben ist.](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_8.png)

1. Suchen Sie den Benutzer mit dem Namen **krbtgt**, klicken Sie mit der rechten Maustaste darauf und wählen Sie Passwort **zurücksetzen**.  
![Kontextmenü mit hervorgehobener Option „Passwort zurücksetzen“.](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_9.png)

1. Geben Sie im neuen Fenster das neue Passwort ein, geben Sie es erneut ein und wählen Sie dann **OK**, um das Passwort für das krbtgt-Konto zurückzusetzen.  
![Dialogfeld „Passwort zurücksetzen“ mit Passwortfeldern, Checkbox-Optionen und den Schaltflächen OK und Abbrechen.](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_10.png)

1. Wählen Sie im Dashboard mit den Windows Verwaltungstools die Option **Active Directory-Standorte und -Dienste** aus.  
![Ordner mit den Verwaltungstools, in dem neben anderen Verknüpfungen auch Active Directory-Standorte und -Dienste angezeigt werden.](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_11.png)

1. **Erweitern Sie im Fenster Active Directory-Standorte und -Dienste die Optionen **Site**, **Default-First-Site-Name** und Server.**  
![Die Active Directory-Konsole für Standorte und Dienste zeigt den erweiterten Serverknoten mit NTDS-Einstellungen an.](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_12.png)

1. Klicken Sie im Fenster mit den NTDS-Einstellungen mit der rechten Maustaste auf den Server und wählen Sie Jetzt **replizieren** aus.  
![Kontextmenü mit der in den NTDS-Einstellungen markierten Option Jetzt replizieren für eine Verbindung.](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/simple_ad_krbtgt_acct_step_13.png)

1. Wiederholen Sie die Schritte 13 bis 14 für Ihre anderen Server.