Protected Users グループを使用してユーザー アカウントを保護する
AD DS (Active Directory) のセキュリティ グループ Protected Users は、高い特権を持つユーザー アカウントを侵害から保護するのに役立ちます。 Protected Users グループのメンバーに適用されるいくつかのセキュリティ関連の構成設定は、メンバーがグループを離れない限り変更できません。
Protected Users グループの前提条件
Protected Users グループのメンバーを保護するには:
グループをすべてのドメイン コントローラーにレプリケートする必要があります。
ユーザーは、Windows 8.1 または Windows Server 2012 R2 以降を実行しているデバイスにサインインする必要があります。
ドメイン コントローラーの保護には、ドメインが Windows Server 2012 R2 以上のドメイン機能レベルで実行されている必要があります。 それより下の機能レベルでは、クライアント デバイスでの保護が引き続きサポートされます。
Protected Users グループの保護
ユーザーが Protected Users グループのメンバーである場合は、ワークステーションまたはローカル デバイスで次のようになります。
ユーザーの資格情報は、ローカル環境にキャッシュされません。
ユーザーの資格情報は、資格情報の委任 (CredSSP) によってキャッシュされません
ユーザーの資格情報は、Windows Digest によってキャッシュされません。
ユーザーの資格情報は、NTLM によってキャッシュされません。
Kerberos では、DES (Data Encryption Standard) や RC4 キーが作成されないか、または資格情報や長期キーがキャッシュされません。
ユーザーは、オフラインでサインインできなくなります。
Windows Server 2012 R2 以降を実行しているドメイン コントローラーでは、次のようになります。
NTLM 認証は許可されません。
Kerberos 事前認証では、DES および RC4 暗号化を使用できません。
制約付き委任を使用して資格情報を委任することはできません。
制約なし委任を使用して委任することはできません。
Ticket Granting Ticket (TGT) は、初期有効期間を過ぎると更新できません。
認証ポリシー
認証ポリシーを使用すると、ユーザー、サービス、またはコンピューター アカウントの TGT の有効期間とアクセス制御条件を構成できます。 ユーザー アカウントの場合、ユーザーの TGT の有効期間を、Protected Users グループの最大有効期間 (600 分) によって設定される最大値まで構成できます。 また、ユーザーがサインインできるデバイスと、デバイスが満たす必要のある条件を制限することもできます。
認証ポリシー サイロ
認証ポリシー サイロを使用すると、管理者は、ユーザー、コンピューター、サービスのアカウントに認証ポリシーを割り当てることができます。 認証ポリシー サイロは、Protected Users グループと連携して、グループの既存の構成できない制限に構成可能な制限を追加します。 さらに、ポリシー サイロでは、アカウントがただ 1 つの認証ポリシー サイロに属することが保証されます。
アカウントがサインインすると、認証ポリシー サイロの一部であるユーザーに、認証ポリシー サイロのクレームが付与されます。 このサイロのクレームにより、クレーム対応のリソースへのアクセスが制御され、そのデバイスへのアクセスがアカウントに許可されるかどうかが検証されます。 たとえば、機密性の高いサーバーにアクセスできるアカウントを、特定の認証ポリシー サイロに関連付けることができます。
追加の参考資料: 認証ポリシーと認証ポリシー サイロについて詳しくは、「認証ポリシーと認証ポリシー サイロ」を参照してください。