Vedeli ste, že potom, čo vytvoríte novú Active Directory doménu pomocou nástroja dcpromo (resp. cez Server Manager od Windows Server 2012), musíte zmeniť heslo účtu Administrator? Bez toho bude voči tomuto účtu fungovať Kerberos autentizácia iba so zastaralým šifrovaním RC4, ale už nie s moderným a bezpečným AES, ani s prehistorickým DES (nefunkčnosť DESu je vlastne skôr výhoda). Obdobne Vám nepôjde ani Digest autentizácia, kým NTLM pobeží bez problémov. Skoro nikto o tom nevie a v dokumentácii sa to tiež nedozviete.

Prečo je tomu tak? Než pustíte dcpromo, lokálny účet Administrator je uložený v SAM databáze, kde sú heslá ukladané iba vo forme NT hashu (tzn. MD4). Potom, čo server povýšite  prvý doménový kontrolér v novovytvorenej doméne, SAM databáza sa prestane používať a účet Administrator sa aj s heslom naimportuje do Active Directory databázy a stane sa z neho prvý člen Domain Admins a ďalších privilegovaných skupín. Stále na ňom ale bude nastavený iba MD4 hash, ktorý sa využije pri NTLM alebo Kerberos RC4-HMAC autentizácii, no kľúče pre AES256, AES128, DES a Digest (MD5) budú prázdne. Až pri najbližšej zmene hesla sa všetky tieto kľúče vygenerujú a korektne uložia do databázy.

Rada na záver: Z bezpečnostných dôvodov by ste samozrejme doménový účet Administrator nielenže nemali používať, ale mal by byť v ideálnom prípade zakázaný. Pri dodržiavaní tohto pravidla by ste na chovanie popisované v tomto článku nemali naraziť.