No ambiente Windows Server 2019, instalado e funcionando em condições ideais, no Active Directory, as contas locais padrão do container Usuários incluem: Administrador, Convidado e KRBTGT. A conta KRBTGT
- A é criada automaticamente quando um domínio é criado. A autenticação Kerberos do Windows Server é obtida pelo uso de um TGT Kerberos criptografado com uma chave simétrica. À senha TGT da conta KRBTGT só é conhecida pelo serviço Kerberos. Para solicitar um tíquete de sessão, o TGT precisa ser apresentado ao KDC.
- B funciona como uma conta de serviço para o serviço KDC (Key Distribution Center). Essa conta pode ser excluída, mas o nome da conta não pode ser alterado. A conta KRBTGT já vem habilitada no Active Directory.
- C recebe uma senha forte atribuída automaticamente. Como é uma conta de serviço com privilégios, só é possível alterar essa senha solicitando uma nova ao fabricante, pois é usada para se obter uma chave secreta para criptografar e descriptografar as solicitações TGT (Ticket-Granting Ticket) emitidas.
- D possui uma senha, que é a chave a partir da qual toda a relação de confiança no Windows Server é encadeada. Ao se redefinir a senha da KRBTGT, renova-se o Certificado de Autoridade da certificação-raiz e obtém-se uma nova chave, O que faz com que todas as operações do Windows Server sejam afetadas.
- E está associada ao RODC (Read-Only Domain Controller), que foi introduzido pelo Windows Server 2019. O RODC usa uma conta KRBTGT com a mesma senha do KDC em um controlador de domínio gravável quando assina ou criptografa as solicitações de TGT.