ドメイン間信頼アカウントがパスワードを必要としないのはなぜですか?
ドメイン間信頼アカウントのアカウント値が2080(INTERDOMAIN_TRUST_ACCOUNT – PASSWD_NOTREQD)になる理由を理解しようとしています。
定期監査の際、最近姉妹会社との双方向の信頼関係を築いた後、監査人の一人が「このアカウントとは何ですか、なぜパスワードが不要なのですか?」と質問しました。
私はMicrosoftのドキュメントを調べていて、ドメイン間信頼アカウントのパスワードがどのようにリセットされるか、およびすべての可能性のあるuserAccountControl値のいくつかのリストについてかなり多くのことを見つけましたが、この値の具体的な説明はありません。
現在、この値は、パスワードの更新が開始されて失敗するシナリオをカバーするように設定されていると思われます。古いパスワードは別のレジストリキーに保存され、パスワードの更新に失敗すると、パスワードなしで信頼できるドメインにアカウントが残ります。
誰かがこの疑惑を確認するか、それを修正することができれば幸いです。誰かがより具体的なドキュメントを指摘できれば、それもありがたいです。
信頼の秘密は、ドメイン間信頼アカウントの特別な属性で表され、保護している信頼の方向を示します
インバウンドの信頼の秘密は、信頼の「信頼できる」側の trustAuthIncoming に格納されます
アウトバウンドの信頼の秘密は、信頼の「信頼する」側の trustAuthOutgoing に格納されます
双方向の信頼(親子の信頼や内部フォレスト間の推移的なフォレストの信頼など)の特殊なケースでは、INTERDOMAIN_TRUST_ACCOUNT信頼の両側のオブジェクトには両方が設定されます。
クライアントコンピューターがパスワード変更の開始を担当する通常のコンピューターアカウントとは異なり、信頼シークレットは、信頼するドメインでPDC EmulatorFSMOロールを所有するドメインコントローラーによって維持されます。
PDCeは、7日ごとに新しい信頼シークレットを生成および設定し、信頼されたドメインのPDCeに連絡して、着信信頼シークレットを更新します。信頼されたドメイン内の他のすべてのドメインコントローラーは新しいシークレットを複製しますが、複製が発生するまで信頼がすぐに壊れないようにするために、最後に使用されたシークレットは次の変更までSAMデータベースに保持されます。
この仕様はほとんどのパスワードポリシーにうまく適合せず、一意のパスワード/秘密がTDOごとではなく方向ごとに維持されるため、 INTERDOMAIN_TRUST_ACCOUNTはパスワードの取得を免除されます