Un grup de utilizatori protejați director activ, ferestre pentru administratorii de sistem

Membrii acestui grup sunt supuși următoarelor restricții:

1. Membrii acestui grup se pot autentifica numai folosind protocolul Kerberos. Autentificarea folosind NTLM, Digest Authentication sau CredSSP va eșua.
2. Pentru utilizatorii acestui grup, algoritmi slabi de criptare, cum ar fi DES sau RC4, nu pot fi utilizați în autentificarea Kerberos cu pre-autentificare (este necesar cel puțin suport AES).
3. Aceste conturi nu pot fi delegate printr-o delegație Kerberos limitată sau nerestricționată
4. Cheile Kerberos pe termen lung nu sunt stocate în memorie, ceea ce înseamnă că atunci când TGT expiră (implicit este de 4 ore), utilizatorul trebuie să se autentifice.
5. Pentru utilizatorii acestui grup, datele pentru intrarea în memoria cache nu sunt stocate. Ie dacă controlerele de domeniu nu sunt disponibile, acești utilizatori nu vor putea să se autentifice la mașinile lor prin intermediul acreditărilor din cache.

În mod implicit, grupul Protected Users este gol și Microsoft recomandă adăugarea de conturi de utilizatori critice (administratori de domeniu, servere, etc.).

Consiliul. Funcționalitatea unui grup de utilizatori protejat necesită o testare aprofundată înainte de implementare într-un mediu productiv. Nu includeți imediat în acest grup un singur cont de administrator de domeniu.

Pe controlerul de domeniu, în secțiunea Jurnal de aplicații și servicii -> Microsoft -> Windows -> Autentificare trebuie să existe o înregistrare:

Autentificarea NTLM nu a reușit deoarece contul a fost membru al grupului de utilizatori protejați.

Folosind Kerberos pe aceeași resursă, acesta va fi autentificat, adică NTLM pentru membrii grupului Utilizatori protejați este dezactivat.

Notă. Conturile de servicii și computerele nu trebuie să fie incluse în grupul Utilizatori protejați. Acest grup nu oferă protecție locală; Parola contului este întotdeauna disponibilă pe nod.

• Migrarea unei baze de date Active Directory
• Fila Informații suplimentare despre cont în consola ADUC
• Detectați sursa blocării contului de utilizator în Active Directory
• Legarea serverelor WSUS la diferite site-uri Active Directory
• Găsiți conturi administrative în Active Directory

Articole similare

• Grup de utilizatori protejați de grupul de securitate

• Instalarea serverului kms pe baza serverului windows 2018 r2, ferestre pentru administratorii de sistem

• Gestionarea cotei de disc în serverul Windows 2018, ferestre pentru administratorii de sistem

Trimiteți-le prietenilor: