Смена пароля учетной записи krbtgt — это критически важная операция в Active Directory, которая выполняется в рамках процедуры регулярного обслуживания или после компрометации. Корректная смена пароля учетной записи krbtgt состоит из двух последовательных изменений пароля учетной записи, с интервалом между сменами не менее 10 часов. Двойная смена пароля связана с тем, что пароль для учетной записи krbtgt хранится в двух версиях (текущей и предыдущей), и Kerberos использует старый и новый пароль для выдачи токенов (чтобы при смене паролей обеспечить работу выданных ранее токенов). 
Для смены пароля krbtgt необходимо обладать правами Domain Admin, в период минимальной нагрузки и когда доступны все контроллеры домена доступны по сети и отреплицированы.

Смену пароля учетной записи krbtgt можно выполнить разными способами, например:
1. PowerShell

Reset-ADServiceAccountPassword -Identity krbtgt -Server <DC_Name>

2. cmd  

netdom resetpwd /server:<DC_Name> /userD:DOMAIN\Administrator /passwordD:*

После выполнения одной из этих команд новый пароль реплицируется на все контроллеры домена.

После первой смены пароля необходимо подождать на менее 10 часов (если удобнее, то можно приступить ко второму этапу через сутки), это необходимо, чтобы все токены доступа, выданные со старым паролем, истекли и все клиенты их обновили. 
По истечении времени не менее 10 часов - повторно меняем пароль, например, через PowerShell:

Reset-ADServiceAccountPassword -Identity krbtgt -Server <DC_Name>

После повторной смены пароля, рекомендуется выполнить профилактические действия:
- Проверить репликацию ( repadmin /showrepl)
- Проверить журналы событий DC на ошибки аутентификации.  


Если необходима автоматизация смены пароля, то можно использовать различные уже готовые скрипты, в том числе от Microsoft (например тут: gallery.technet.microsoft.com или тут: github.com), они автоматизируют двухэтапный процесс смены пароля с учетом необходимых задержек для избегания проблем с аутентификацией Kerberos.