تغییر پسورد کاربر در اکتیو دایرکتوری

زمانی که می خواهید یک سرور را به Domain Controller تبدیل کنید، اکانتی به نام krbtgt ساخته خواهد شد که اغلب ادمین هایی که با اکتیو دایرکتوری کار می کنند در باره ی این اکانت دانش کافی را ندارند در صورتی که این اکانت از نظر امنیتی و کارکرد domain اهمیت بسزایی دارد.تغییر پسورد کاربر در اکتیو دایرکتوری

اکانت krbtgt با RID به شماره ۵۰۲ در کانتینر Users دقیقا زمانی که شما اولین Domain Controller خود را ساخته اید، به وجود می آید و به صورت پیشفرض غیر فعال بوده و به دو security group اعمال شده است که این دو security group شامل Domain Users و Denied RODC Password Replication Group می باشد. نمیتوانید هیچ گونه عملی مانند تغییر نام ، فعال و یا حذف کردن زا روی آن اعمال کنید. این اکانت بسیار اکانت مهمی است زیرا  برای کار کردن KDC و Kerberos در اکتیو دایرکتوری ار آن استفاده می شود.تغییر پسورد کاربر در اکتیو دایرکتوری

سرویس (KDC (Kerberos Distribution  روی domain controller اجرا شده و وظیفه آن  پردازش کردن درخواست های مربوط به Kerberos می باشد. اگر بخواهید یک کلید خصوصی که برای رمزنگاری و رمزگشایی بلیط های TGT کاربرد دارد ایجاد کنید،برای رمز عبور از اکانت krbtgt استفاده خواهد شد.

 

 

 

معمولا، رمز عبور اکانت krbtgt عوض نمی شود، اما در صورتی که مقدار هش  رمز عبور این اکانت توسط یک هکر تغییر داده شود (به وسیله ابزار mimikatz)، میتواند با ایجاد Golden Ticket Kerberos باعث دور زدن KDC و احراز هویت  به سرویس های دامنه AD شود.

نکته: هش اکانت krbtgt در (Read-Only Domain Controller (RODC ذخیره نخواهد شد، چون هر RODC مقدار اکانت RODC مختص به خود را دارا می باشد.

برای دریافت اطلاعات اکانت krbtg در پاورشل دستور زیر را وارد کنید:

1
GetAdUser krbtgt property created, passwordlastset, enabled

 

با توجه به شکل بالا خواهید دید که رمز عبور krbtgt از زمانی که دامنه AD ساخته شده تغییر نکرده است.

به دلایل امنیتی و جلوگیری از حملات Golden Ticket Attack توصیه می شود که زمانی که ادمین شما شرکت شما را ترک کرد این رمز تغییر داده شود. توجه داشته باشید که باید  این رمز عبور را  دوبار تغییر دهید، زیرا رمز عبور فعلی و قبلی اکانت krbtgt در دامنه ذخیره شده است.

نکته: هنگامی که و ویندوز سرور را ارتقا می دهید (برای مثال، از ویندوز سرور ۲۰۱۲ به ویندوز سرور ۲۰۱۶ انتقال میدهید) رمز عبور اکانت krbtgt به صورت اتوماتیک تغییر خواهد کرد.

از طریق ADUC میتوانید رمز عبور اکانت krbtgt را برای هر کاربر تغییر دهید یا از اسکریپت پاورشل استفاده کنید.

برای تغییر رمز عبور اکانت krbtgt برای هر کاربر می توانید از ADUC یا پاورشل استفاده کنید.

 

 

 

رمز عبور قوی را برای اکانت krbtgt در نظر بگیرید.

 

احتمالا به هنگام دومین تغییر  بر روی رمز عبور اکانت krbtgt در طول عملیات replication با مشکلاتت در برخی از سرویسهای مربوط به دامنه بر خواهید خورد.

برای کاهش این ریسک  باید سرویس Kerberos Key Distribution Center را روی همه domain controller ها با استفاده از کنسول services.msc ریست کنید برای این کار بر روی Kerberos Key Distribution Center کلیک راست کرده و سپس بر روی Restart کلیک کنید

 

 

با با استفاده از اجرای دستور زیر در پاورشل این کار را انجام دهید:

$DCs=Get-ADDomainControllerGet-Service KDC -ComputerName $DCs | Restart-Service

برای پشتیانی شبکه و پشتیبانی voip با شرکت تیلاتل در تماس باشید.

پشتیبانی شبکه های کامپیوتری

عموما سازمان ها و مجموعه های وابسته به پشتیبانی شبکه های کامپیوتری که نرم افزار های مالی و اداری آنها بر بستر شبکه میباشد نیازمند به یک پشتیبانی شبکه های کامپیوتری جهت بهبود در عملکرد و عدم قطعی در ارتباط با سرور می باشند.شرکت خدمات مهندسی تیلاتل با تکیه بر توان داخلی و پرسنل مجرب در امر پشتیبانی شبکه های کامپیوتری، طراحی شبکه و پشتیبانی و طراحی سیستم های تلفنی ویپ آماده خدمت به سازمان ها و کارخانجات (پشتیبانی شبکه های صنعتی) جهت بهبود عملکرد و کیفیت و پایداری سیستم های مورد نیاز می باشد.

  • تنظیم قرارداد با سازمان ها و ادارت و مشاغل صنعتی جهت پشتیبانی ، نگهداری و ارائه خدمات شبکه
  • طراحی و پیاده سازی زیر ساخت شبکه بر بستر فیبر نوری و وایرلس (لینک PTP)
  • نگهداری و پشتیبانی از کامپیوترها ، سرورها ، تجهیزات شبکه ، تجهیزات اداری ، دوربین های مداربسته و …
  • کنترل ، بررسی و  مراقبت از سرورها از لحاظ سخت افزاری و تست قطعات
  • پشتیبانی Online و تلفنی در طول روز
  • تدوین مستندسازی از عملکرد شبکه و مانیتورینگ تجهیزات شبکه ، سرورها ، سرویس ها، توپولوژی شبکه و سیستم های کامپیوتری پشتیبانی شبکه های کامپیوتری

 

پشتیبانی شبکه های کامپیوتری

پیگیری مستمر و حضور به موقع

در صورت نیاز به کارشناس در محل و مشاوره در امور پشتیبانی شبکه  و رفع نیازهای مشتری، بصورت ثابت صورت می گیرد. با توجه به نیاز ادارت و سازمان ها شرکت خدمات مهندسی تیلاتل این امکان را فراهم نموده تا به صورت تمام وقت و حضور کارشناس در محل صورت پذیرد.

اعزام کارشناس در مواقع بروز مشکل

کارشناس بصورت دوره ای و در مواقع بروز مشکل اعزام می شود. مدت حضور کارشناس در محل، تا زمان برطرف شدن کامل مشکل می باشد.

پشتیبانی از راه دور به صورت Remote Control

کارشناسان فنی خدمات مهندسی تیلاتل با استفاده از امکانات ریموت کنترل به مرکز داده سازمان مشتری متصل شده  علاوه بر بررسی وضعیت سیستم ها، مشکلات بوجود آمده را برطرف می کنند.

هزینه پشتیبانی شبکه های کامپیوتری در قرارداد به چه صورت است؟

مبنای نرخ خدمات پشتیبانی شبکه و برآورد لیست هزینه نگهداری سرویسها و سرورهای کامپیوتری بستگی به شرایطی دارد که در ادامه برای روشن شدن بیشتر این موضوع به تشریح آن می پردازیم. یکی از المان های مهم در تعیین هزینه تعرفه نگهداری سیستم های رایانه ای متمرکز یا پراکنده بودن شرکت یا سازمان متقاضی OutSourcung خدمات IT می باشد. به فرض اگر شرکتی شعبات پراکنده دارد به طور معمول نرخ هزینه بالاتری را می طلبد. تعداد کامپیوترهای کاربران می تواند نقش مهمی در تعیین هزینه خدمات پشتیبانی شبکه کامپیوتر ایفا کند. معمولا مابه ازای هر کامپیوتر ماهیانه 30 هزار تومان دریافت می گردد.

بررسی مستمر

اطلاعات در سازمان ها همواره از اهمیت فوق العاده ای برخوردار بوده است. از بین رفتن اطلاعات می تواند خسارت غیر قابل جبرانی را به سازمان تحمیل کند.
به منظور حصول اطمینان از روند پشتیبانی، موارد زیر بصورت هفتگی و با ریموت روی سایت مشتریان چک می شود.
– بررسی وضعیت بکاپ های روزانه از سرورها، دیتابیس ها و اطلاعات مهم که با نرم افزارهای پشتیبان گیری گرفته می شود.
– بررسی بکاپ های داخلی SQL DB از سیستم های مالی، اتوماسیون اداری، CRM ، سیستم تردد و . . .
– تهیه بکاپ کامل از اکتیو دایرکتوری و تنظیمات مربوط به آن
– تهیه بکاپ کامل از سرور CRM و Exchange و . . .
– بررسی گزارشات گرفته شده از رخدادهای شبکه
– بررسی وضعیت آنتی ویروس
– بررسی سلامت هاردها و وضعیت RAID آن ها

برای پشتیانی شبکه و پشتیبانی voip با شرکت تیلاتل در تماس باشید.