Sicherheitsgruppe "Geschützte Benutzer"

2025-05-01
Gilt für:: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Die globale Sicherheitsgruppe für Active Directory (AD) "Geschützte Benutzer" wurde zum Schutz vor Diebstahl von Anmeldeinformationen entwickelt. Die Gruppe löst nicht konfigurierten Schutz auf Geräten und Hostcomputern aus, um zu verhindern, dass Anmeldeinformationen zwischengespeichert werden, wenn sich Gruppenmitglieder anmelden.

Voraussetzungen

Ihr System muss die folgenden Voraussetzungen erfüllen, bevor Sie eine Gruppe "Geschützte Benutzer" bereitstellen können:

Auf den Hosts muss eines der folgenden Betriebssysteme ausgeführt werden:
- Windows 10 oder Windows 11
- Windows Server 2012 R2 oder höher mit den neuesten installierten Sicherheitsupdates
Die Domänenfunktionsebene muss Windows Server 2012 R2 oder höher sein. Weitere Informationen zu Funktionsebenen finden Sie unter Gesamtstruktur- und Domänenfunktionsebenen.

Hinweis

Der integrierte Domänenadministrator S-1-5-<domain>-500 ist immer von Authentifizierungsrichtlinien ausgenommen, auch wenn er einem Authentifizierungsrichtliniensilo zugewiesen sind. Weitere Informationen finden Sie unter Konfigurieren geschützter Konten.

Die Mitgliedschaft in globalen Sicherheitsgruppen "Geschützte Benutzer" beschränkt die Mitglieder darauf, nur Advanced Encryption Standards (AES) für Kerberos zu verwenden. Mitglieder der Gruppe "Geschützte Benutzer" müssen in der Lage sein, sich mit AES zu authentifizieren.

Von Active Directory angewendete Schutzmaßnahmen

Wenn Sie Mitglied der Gruppe "Geschützte Benutzer" werden, wendet AD automatisch bestimmte vorkonfigurierte Steuerelemente an, die die Benutzer nur ändern können, wenn sie nicht mehr Gruppenmitglieder sind.

Geräteschutzmaßnahmen für angemeldete geschützte Benutzer

Wenn der angemeldete Benutzer Mitglied der Gruppe "Geschützte Benutzer" ist, bietet die Gruppe die folgenden Schutzmaßnahmen:

Bei der Delegierung von Anmeldeinformationen (CredSSP) werden die Nur-Text-Anmeldeinformationen des Benutzers auch dann nicht zwischengespeichert, wenn der Benutzer die Gruppenrichtlinieneinstellung Delegieren von Standardanmeldeinformationen zulassen aktiviert.
Windows Digest speichert die Nur-Text-Anmeldeinformationen des Benutzers nicht zwischen, auch wenn er Windows Digest aktiviert hat.
NTLM beendet das Zwischenspeichern der Klartext-Anmeldeinformationen des Benutzers oder der unidirektionalen NT-Funktion (NTOWF).
Kerberos beendet das Erstellen von Data Encryption Standard (DES) oder RC4-Schlüsseln. Kerberos speichert auch keine unverschlüsselten Anmeldeinformationen des Benutzers oder langfristige Schlüssel, nachdem das anfängliche Ticket Granting Ticket (TGT) erworben wurde.
Das System erstellt beim Anmelden oder Entsperren des Benutzers keinen zwischengespeicherten Prüfer, sodass Mitgliedssysteme die Offline-Anmeldung nicht mehr unterstützen.

Nachdem Sie der Gruppe "Geschützte Benutzer" ein neues Benutzerkonto hinzugefügt haben, werden diese Schutzmaßnahmen aktiviert, wenn sich der neue geschützte Benutzer bei ihrem Gerät anmeldet.

Domänencontroller-Schutzmaßnahmen für geschützte Benutzer

Geschützte Benutzerkonten, die sich bei einer Domäne authentifizieren, auf der Windows Server ausgeführt wird, können folgende Aktionen nicht ausführen:

Authentifizieren mit NTLM-Authentifizierung.
Verwenden Sie DES- oder RC4-Verschlüsselungstypen in der Kerberos-Vorauthentifizierung.
Delegieren Sie mit uneingeschränkter oder eingeschränkter Delegation.
Erneuern Sie Kerberos-TGTs über ihre ursprüngliche Lebensdauer von vier Stunden hinaus.

Die Gruppe „Geschützte Benutzer“ wendet nicht konfigurierbare Einstellungen auf den TGT-Ablauf für jedes Mitgliedskonto an. Normalerweise legt der Domänencontroller die TGT-Lebensdauer und -Erneuerung basierend auf den folgenden beiden Domänenrichtlinien fest:

Max. Gültigkeitsdauer des Benutzertickets
Max. Zeitraum, in dem ein Benutzerticket erneuert werden kann

Bei Mitgliedern geschützter Benutzer legt die Gruppe diese Lebensdauerbeschränkungen automatisch auf 240 Minuten fest. Der Benutzer kann diesen Grenzwert nur ändern, wenn er die Gruppe verlässt.

Funktionsweise der Gruppe der geschützten Benutzer

Sie können der Gruppe "Geschützte Benutzer" mithilfe der folgenden Methoden Benutzer hinzufügen:

UI-Tools, wie Active Directory Administrative Center (ADAC) oder Active Directory-Benutzer und -Computer.
PowerShell mit dem Add-ADGroupMember Cmdlet.

Wichtig

Fügen Sie niemals Konten für Dienste und Computer zur Gruppe "Geschützte Benutzer" hinzu. Für diese Konten bietet die Mitgliedschaft keinen lokalen Schutz, da das Kennwort und das Zertifikat immer auf dem Host verfügbar sind.
Fügen Sie keine Konten hinzu, die bereits Mitglieder von Gruppen mit hoher Berechtigung sind, z. B. die Gruppen "Unternehmensadministratoren" oder "Domänenadministratoren", bis Sie garantieren können, dass das Hinzufügen keine negativen Folgen hat. Benutzer mit hohen Rechten in den geschützten Benutzern unterliegen den gleichen Einschränkungen und Einschränkungen wie normale Benutzer, und es ist nicht möglich, diese Einstellungen zu umgehen oder zu ändern. Wenn Sie alle Mitglieder dieser Gruppen zur Gruppe "Geschützte Benutzer" hinzufügen, ist es möglich, ihre Konten versehentlich zu sperren. Es ist wichtig, ihr System zu testen, um sicherzustellen, dass die obligatorischen Einstellungsänderungen den Kontozugriff für diese privilegierten Benutzergruppen nicht beeinträchtigen.

Mitglieder der Gruppe „Geschützte Benutzer“ können sich nur mit Kerberos mit Advanced Encryption Standards (AES) authentifizieren. Für diese Methode sind AES-Schlüssel in Active Directory erforderlich. Der integrierte Administrator verfügt nicht über einen AES-Schlüssel, es sei denn, das Kennwort für die Domäne, in der Windows Server 2008 oder höher ausgeführt wird, wird geändert. Jedes Konto, das sein Kennwort von einer Do Standard Controller mit einer früheren Version von Windows Server geändert hat, ist aus der Authentifizierung gesperrt.

Um Sperrungen und fehlende AES-Schlüssel zu vermeiden, sollten Sie die folgenden Richtlinien befolgen:

Führen Sie keine Tests in Domänen aus, es sei denn, auf allen Domänencontrollern wird Windows Server 2008 oder höher ausgeführt.
Wenn Sie Konten von anderen Domänen migriert haben, müssen Sie das Passwort zurücksetzen, damit die Konten über AES-Hashes verfügen. Andernfalls können diese Konten authentifiziert werden.
Benutzer müssen ihre Kennwörter ändern, nachdem sie zur Domänenfunktionsebene von Windows Server 2008 oder höher gewechselt sind. Dadurch wird sichergestellt, dass sie AES-Kennworthashes haben, sobald sie Mitglied der Gruppe "Geschützte Benutzer" werden.

Active Directory-Eigenschaften der Gruppe „Geschützte Benutzer“

Die folgende Tabelle gibt die Active Directory-Eigenschaften der Gruppe „Geschützte Benutzer“ an.

attribute	Wert
Gut bekannte SID/RID	S-1-5-21-<Domäne>-525
type	Globale Domäne
Standardcontainer	CN=Users, DC=<Domäne>, DC=
Standardelemente	Keine
Standardmitglied von	Keine
Geschützt durch ADMINSDHOLDER?	Nein
Speichern, um aus Standardcontainer zu entfernen?	Ja
Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren?	Nein
Standardbenutzerrechte	Keine Standardbenutzerrechte.

Ereignisprotokolle

Es gibt zwei betriebliche Administrativprotokolle für die Fehlerbehebung von Ereignissen hinsichtlich geschützter Benutzer. Diese neuen Protokolle befinden sich in der Ereignisanzeige und sind standardmäßig deaktiviert. Sie finden Sie unter Anwendungs- und Dienstprotokolle\Microsoft\Windows\Authentifizierung.

So aktivieren Sie die Erfassung dieser Protokolle:

Klicken Sie mit der rechten Maustaste auf Start, und wählen Sie dann Ereignisanzeige aus.
Öffnen Sie Anwendungs- und Dienstprotokolle\Microsoft\Windows\Authentication.
Klicken Sie für jedes Protokoll, das Sie aktivieren möchten, mit der rechten Maustaste auf den Protokollnamen und wählen Sie dann "Protokoll aktivieren" aus.

Ereignis-ID und Protokoll	BESCHREIBUNG
104 ProtectedUser-Client	Grund: Das Sicherheitspaket auf dem Client enthält nicht die Anmeldeinformationen. Der Fehler wird im Clientcomputer protokolliert, wenn das Konto Mitglied der Sicherheitsgruppe der geschützten Benutzer ist. Dieses Ereignis gibt an, dass das Sicherheitspaket die Anmeldeinformationen, die für die Authentifizierung beim Server erforderlich sind, nicht zwischenspeichert. Zeigt den Paketnamen, Benutzernamen, Domänennamen und den Servernamen an.
304 ProtectedUser-Client	Grund: Das Sicherheitspaket speichert die Anmeldeinformationen des geschützten Benutzers nicht. Ein Informationsereignis wird im Client protokolliert, um anzugeben, dass das Sicherheitspaket die Anmeldeinformationen des Benutzers nicht zwischenspeichert. Es wird erwartet, dass Digest (WDigest), Credential Delegation (CredSSP) und NTLM keine Anmeldeinformationen für geschützte Benutzer haben. Anwendungen können weiterhin erfolgreich nach Anmeldeinformationen fragen. Zeigt den Paketnamen, Benutzernamen und Domänennamen an.
100 ProtectedUserFailures-DomainController	Grund: Ein NTLM-Anmeldefehler ereignet sich für ein Konto in der Sicherheitsgruppe der geschützten Benutzer. Im Domänencontroller wird ein Fehler protokolliert, um anzugeben, dass die NTLM-Authentifizierung fehlgeschlagen ist, da das Konto Mitglied der Sicherheitsgruppe der geschützten Benutzer ist. Zeigt den Kontonamen und den Gerätenamen an.
104 ProtectedUserFailures-DomainController	Grund: DES- oder RC4-Verschlüsselungstypen werden für die Kerberos-Authentifizierung verwendet, und ein Anmeldefehler ereignet sich für einen Benutzer in der Sicherheitsgruppe der geschützten Benutzer. Fehler bei der Kerberos-Vorauthentifizierung, da DES- und RC4-Verschlüsselungstypen nicht verwendet werden können, wenn das Konto Mitglied der Sicherheitsgruppe "Geschützte Benutzer" ist. (AES wird akzeptiert.)
303 ProtectedUserSuccesses-DomainController	Grund: Ein Kerberos-Ticket-Granting-Ticket (TGT) wurde erfolgreich für ein Mitglied der Gruppe der geschützten Benutzer ausgegeben.