为什么域间信任帐户不需要密码？

Question

我试图理解为什么和域间信任帐户的帐户价值为2080年(INTERDOMAIN_TRUST_ACCOUNT - PASSWD_NOTREQD)。

在一次例行审计中，在我们最近与一家姐妹公司建立了双向信托之后，我们的一位审计师提出了这样的问题：“这个账户是什么?为什么它不需要密码？”

我一直在深入研究微软的文档，我发现了很多关于域间信任帐户密码是如何重置的，以及关于所有可能的userAccountControl值的列表，但是没有对这个值做出具体的解释。

我目前怀疑此值被设置为涵盖密码更新启动并失败的情况。由于旧密码存储在单独的注册表项中，而失败的密码更新将使信任域上的帐户没有密码。

如果有人能证实或纠正这种怀疑，我将不胜感激。如果有人能指出更具体的文件，这也将是值得赞赏的。

Answer 1

信任秘密由域间信任帐户上的特殊属性表示，指示其所保护的信任的方向

入站信任机密存储在信任的“受信任”端的trustAuthIncomingtrustAuthIncoming中。

出站信任秘密存储在信任的“信任”端的trustAuthOutgoingtrustAuthOutgoing中。

在双向信任的特殊情况下(例如父-子信任或内部林之间的传递林信任)，信任双方的INTERDOMAIN_TRUST_ACCOUNT对象都将被设置。

与客户端计算机负责启动密码更改的常规计算机帐户不同，信任秘密由域控制器维护，域控制器在信任域中具有PDC模拟器FSMO角色。

每7天，PDCe将生成和设置一个新的信任秘密，与受信任域中的PDCe联系，并更新传入的信任秘密。受信任域中的所有其他域控制器都将复制新的秘密，但为了确保信任在复制发生之前不会立即中断，使用的最后一个秘密将保留在SAM数据库中，直到下一次更改。

由于此规范不适合大多数密码策略，而且由于每个方向都维护了唯一的密码/secrect，而不是每个TDO，因此INTERDOMAIN_TRUST_ACCOUNT不需要密码。