Sicherheitsgruppe "Geschützte Benutzer"
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
Dieses Thema für IT-Experten beschreibt die Active Directory-Sicherheitsgruppe „Geschützte Benutzer“ und erklärt deren Funktionsweise. Diese Gruppe wurde in Windows Server 2012 R2-Domänencontrollern eingeführt.
Übersicht
Die Sicherheitsgruppe wurde als Teil einer Strategie für eine effiziente Verwaltung der Offenlegung von Anmeldeinformationen innerhalb des Unternehmens entworfen. Für Mitglieder dieser Gruppe gilt automatisch nicht konfigurierbarer Schutz für deren Konten. Eine Mitgliedschaft in der Gruppe der geschützten Benutzer bedeutet standardmäßig eine restriktive und proaktive Sicherheit. Die einzige Methode zum Ändern dieses Schutzes für ein Konto ist die Entfernung dieses Kontos aus der Sicherheitsgruppe.
Warnung
Konten für Dienste und Computer sollten niemals Mitglieder der Benutzergruppe „Geschützte Benutzer“ sein. Diese Gruppe bietet sowieso unvollständigen Schutz, da das Kennwort oder Zertifikat immer auf dem Host verfügbar ist. Die Authentifizierung schlägt für alle Dienste oder Computer, die der Gruppe „Geschützte Benutzer“ hinzugefügt werden, mit dem Fehler „Der Benutzername oder das Kennwort ist falsch“ fehl.
Diese domänenbezogene globale Gruppe löst nicht konfigurierbaren Schutz auf Geräten und Hostcomputern, auf denen Windows Server 2012 R2 and Windows 8.1 oder höher ausgeführt wird, für Benutzer in Domänen mit einem primären Domänencontroller aus, auf dem Windows Server 2012 R2 ausgeführt wird. Dadurch wird der Standardspeicherbedarf von Anmeldeinformationen signifikant reduziert, wenn Benutzer sich an Computern mit diesen Schutzmaßnahmen anmelden.
Weitere Informationen finden Sie unter Funktionsweise der Gruppe „Geschützte Benutzer“ in diesem Thema.
Anforderungen der Gruppe „Geschützte Benutzer“
Folgende Anforderungen müssen erfüllt sein, damit Mitglieder der Gruppe „Geschützte Benutzer“ Geräteschutzmaßnahmen erhalten:
Die globale Sicherheitsgruppe der geschützten Benutzer wird zu allen Domänencontrollern in der Kontodomäne repliziert.
Standardmäßige Unterstützung wurde zu Windows 8.1 und Windows Server 2012 R2 hinzugefügt. Microsoft-Sicherheitsempfehlung 2871997 fügt Unterstützung für Windows 7, Windows Server 2008 R2 und Windows Server 2012 hinzu.
Folgende Anforderungen müssen erfüllt sein, damit Mitglieder der Gruppe der geschützten Benutzer Domänencontrollerschutz erhalten:
- Die Benutzer müssen sich in der Funktionsebene von Windows Server 2012 R2 oder einer höheren Domäne befinden.
Hinzufügen einer globalen Sicherheitsgruppe für geschützte Benutzer zu Downleveldomänen
Domänencontroller, auf denen ein früheres Betriebssystem als Windows Server 2012 R2 ausgeführt wird, können das Hinzufügen von Mitgliedern zur neuen Sicherheitsgruppe „Geschützte Benutzer“ unterstützen. Dies ermöglicht es den Benutzern, bereits vor dem Upgrade der Domäne von Geräteschutzmaßnahmen zu profitieren.
Hinweis
Die Domänencontroller unterstützen keinen Domänenschutzmaßnahmen.
Die Sicherheitsgruppe „Geschützte Benutzer“ kann durch die Übertragung der primären Domänencontroller (PDC)-Emulatorrolle auf einem Domänencontroller unter Windows Server 2012 R2 erstellt werden. Nachdem das Gruppenobjekt auf andere Domänencontroller repliziert wurde, kann die PDC-Emulatorrolle auf einem Domänencontroller gehostet werden, der unter einer älteren Windows Server-Version läuft.
Active Directory-Eigenschaften der Gruppe „Geschützte Benutzer“
Die folgende Tabelle zeigt die Eigenschaften der Gruppe der geschützten Benutzer.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Domäne>-525 |
| type | Globale Domäne |
| Standardcontainer | CN=Users, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch ADMINSDHOLDER? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Ja |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Keine Standardbenutzerrechte. |
Funktionsweise der Gruppe „Geschützte Benutzer“
In diesem Abschnitt wird erklärt, wie die Gruppe der geschützten Benutzer funktioniert, wenn folgende Voraussetzungen erfüllt sind:
Angemeldet auf einem Windows-Gerät
Die Domäne des Benutzerkontos befindet sich in der Funktionsebene von Windows Server 2012 R2 oder einer höheren Domäne.
Geräteschutzmaßnahmen für angemeldete geschützte Benutzer
Wenn der angemeldete Benutzer Mitglied der Gruppe „Geschützte Benutzer“ ist, werden die folgenden Schutzmaßnahmen angewendet:
Die Delegierung von Anmeldeinformationen (CredSSP) speichert die Nur-Text-Anmeldeinformationen des Benutzers auch dann nicht zwischen, wenn die Gruppenrichtlinieneinstellung Delegieren von Standardanmeldeinformationen zulassen aktiviert ist.
Ab Windows 8.1 und Windows Server 2012 R2 speichert Windows Digest die Nur-Text-Anmeldeinformationen des Benutzers auch dann nicht zwischen, wenn Windows Digest aktiviert ist.
Hinweis
Nach der Installation von Microsoft-Sicherheitsempfehlung 2871997 speichert Windows Digest Anmeldeinformationen weiterhin zwischen, bis der Registrierungsschlüssel konfiguriert ist. Anweisungen finden Sie unter Microsoft-Sicherheitsempfehlung: Update zur Verbesserung des Schutzes und der Verwaltung von Anmeldeinformationen: 13. Mai 2014.
NTLM speichert die Nur-Text-Anmeldeinformationen oder NTOWF (NT One-Way Function) nicht zwischen.
Kerberos erstellt keine DES- oder RC4-Schlüssel mehr. Außerdem werden die Nur-Text-Anmeldeinformationen oder langfristigen Schlüssel des Benutzers nach dem Erwerb des anfänglichen TGT nicht zwischengespeichert.
Beim Anmelden oder Entsperren wird kein zwischengespeicherter Verifier erstellt, sodass die Offlineanmeldung nicht mehr unterstützt wird.
Nachdem das Benutzerkonto zur Gruppe „Geschützte Benutzer“ hinzugefügt wurde, beginnt der Schutz, sobald sich der Benutzer am Gerät anmeldet.
Domänencontroller-Schutzmaßnahmen für geschützte Benutzer
Konten, die Mitglieder der Gruppe der geschützten Benutzer sind, die sich an einer Windows Server 2012 R2-Domäne authentifizieren, sind zu Folgendem nicht in der Lage:
Authentifizieren mit NTLM-Authentifizierung.
Verwenden von DES- oder RC4-Verschlüsselungstypen in Kerberos-Vorauthentifizierung.
Delegierung mit eingeschränkter oder nicht eingeschränkter Delegierung.
Erneuern der Kerberos-TGTs außerhalb der ursprünglichen Lebensdauer von vier Stunden.
Nicht konfigurierbare Einstellungen zum Ablauf von TGTs werden für jedes Konto in der Gruppe der geschützten Benutzer eingerichtet. Normalerweise legt der Domänencontroller die Lebensdauer und Erneuerung der TGTs basierend auf den Domänenrichtlinien fest, Max. Gültigkeitsdauer des Benutzertickets und Max. Zeitraum, in dem ein Benutzerticket erneuert werden kann. Für die Gruppe der geschützten Benutzer ist 600 Minuten für diese Domänenrichtlinien eingestellt.
Weitere Informationen finden Sie unter Konfigurieren geschützter Konten.
Problembehandlung
Es gibt zwei betriebliche Administrativprotokolle für die Fehlerbehebung von Ereignissen hinsichtlich geschützter Benutzer. Diese neuen Protokolle befinden sich in der Ereignisanzeige und sind standardmäßig deaktiviert. Sie finden Sie unter Anwendungs- und Dienstprotokolle\Microsoft\Windows\Authentifizierung.
| Ereignis-ID und Protokoll | BESCHREIBUNG |
|---|---|
| 104 ProtectedUser-Client |
Grund: Das Sicherheitspaket auf dem Client enthält keine Anmeldeinformationen. Der Fehler wird im Clientcomputer protokolliert, wenn das Konto Mitglied der Sicherheitsgruppe der geschützten Benutzer ist. Das Ereignis zeigt an, dass das Sicherheitspaket die Anmeldeinformationen, die für die Serverauthentifizierung erforderlich sind, nicht zwischenspeichert. Zeigt den Paketnamen, Benutzernamen, Domänennamen und den Servernamen an. |
| 304 ProtectedUser-Client |
Grund: Das Sicherheitspaket speichert nicht die Anmeldeinformationen des geschützten Benutzers. Im Client wird ein Informationsereignis protokolliert, um anzuzeigen, dass das Sicherheitspaket die Anmeldeinformationen des Benutzers nicht speichert. Es wird erwartet, dass Digest (WDigest), Delegierung von Anmeldeinformationen (CredSSP) und NTLM keine Anmeldeinformationen für geschützte Benutzer haben können. Anwendungen können weiterhin erfolgreich nach Anmeldeinformationen fragen. Zeigt den Paketnamen, Benutzernamen und Domänennamen an. |
| 100 ProtectedUserFailures-DomainController |
Grund: Ein NTLM-Anmeldefehler ereignet sich für ein Konto in der Sicherheitsgruppe der geschützten Benutzer. Im Domänencontroller wird ein Fehler protokolliert, um anzugeben, dass die NTLM-Authentifizierung fehlgeschlagen ist, da das Konto Mitglied der Sicherheitsgruppe der geschützten Benutzer ist. Zeigt den Kontonamen und den Gerätenamen an. |
| 104 ProtectedUserFailures-DomainController |
Grund: DES- oder RC4-Verschlüsselungstypen werden für die Kerberos-Authentifizierung verwendet, und ein Anmeldefehler ereignet sich für einen Benutzer in der Sicherheitsgruppe der geschützten Benutzer. Kerberos-Vorauthentifizierung ist fehlgeschlagen, da DES- und RC4-Verschlüsselungstypen nicht verwendet werden können, wenn das Konto Mitglied der Sicherheitsgruppe der geschützten Benutzer ist. (AES wird akzeptiert.) |
| 303 ProtectedUserSuccesses-DomainController |
Grund: Ein Kerberos-Ticket-Granting-Ticket (TGT) wurde erfolgreich für ein Mitglied der Gruppe der geschützten Benutzer ausgegeben. |