Protected Users セキュリティ グループ
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016
ここでは、IT プロフェッショナル向けに、Active Directory のセキュリティ グループである Protected Users と、そのしくみについて説明します。 このグループは Windows Server 2012 R2 ドメイン コントローラーで導入されました。
概要
このセキュリティ グループは、企業内の資格情報の公開を管理する戦略の一環として設計されています。 このグループのメンバーのアカウントには、構成可能ではない保護が自動的に適用されます。 Protected Users グループのメンバーであるということは、既定で制限的であり、予防的にセキュリティで保護されることを示します。 アカウントに関してこのような保護を変更する唯一の方法は、このセキュリティ グループからアカウントを削除することです。
警告
サービスとコンピューターのアカウントは、Protected Users グループのメンバーにしないでください。 パスワードまたは証明書は常にホストで使用できるので、このグループの保護機能は不完全です。 Protected Users グループに追加されているサービスまたはコンピューターについては、認証は失敗し、"ユーザー名またはパスワードが正しくありません" というエラーが返されます。
このドメイン関連のグローバル グループは、Windows Server 2012 R2 および Windows 8.1 以降を実行しているデバイスやホスト コンピューターと、Windows Server 2012 R2 を実行しているプライマリ ドメイン コントローラーがあるドメインのユーザーについて、構成可能ではない保護をトリガーします。 これにより、ユーザーがこれらの保護を使用してコンピューターにサインインするときに、資格情報の既定のメモリ占有領域が大幅に削減されます。
詳細については、このトピックの「Protected Users グループのしくみ」を参照してください。
Protected Users グループの要件
Protected Users グループのメンバーにデバイスの保護機能を提供するには、次の要件があります。
Protected Users グローバル セキュリティ グループは、アカウント ドメインのすべてのドメイン コントローラーにレプリケートされている。
Windows 8.1 および Windows Server 2012 R2 では、既定でサポートが追加されています。 マイクロソフト セキュリティ アドバイザリ 2871997 では、Windows 7、Windows Server 2008 R2、Windows Server 2012 にサポートが追加されています。
Protected Users グループのメンバーにドメイン コントローラーの保護機能を提供するには、次の要件があります。
- ユーザーは、Windows Server 2012 R2 以降のドメイン機能レベルであるドメインにいる必要があります。
下位ドメインに Protected Users グローバル セキュリティ グループを追加する
Windows Server 2012 R2 より前のオペレーティング システムを実行するドメイン コントローラーでは、新しい Protected Users セキュリティ グループへのメンバーの追加をサポートできます。 これにより、ユーザーは、ドメインをアップグレードする前にデバイスの保護を利用できるようになります。
注意
ドメイン コントローラーでは、ドメインの保護がサポートされません。
Protected Users グループは、プライマリ ドメイン コントローラー (PDC) エミュレーターの役割を Windows Server 2012 R2 を実行するドメイン コントローラーに移すことで作成できます。 そのグループのオブジェクトが他のドメイン コントローラーにレプリケートされた後に、以前のバージョンの Windows Server が実行されているドメイン コントローラーで PDC エミュレーターの役割をホストできます。
Protected Users グループの AD プロパティ
次の表は、Protected Users グループのプロパティの一覧です。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<domain>-525 |
| 型 | ドメイン グローバル |
| 既定のコンテナー | CN=Users, DC=<domain>, DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| ADMINSDHOLDER で保護されているか | No |
| 既定のコンテナーから移動することができるか | はい |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | 既定のユーザー権利はありません |
Protected Users グループのしくみ
ここでは、次の場合に Protected Users グループがどのように機能するかについて説明します。
Windows デバイスでサインイン済み
ユーザー アカウント ドメインが Windows Server 2012 R2 以降のドメイン機能レベルにある
サインイン済みの Protected Users に対するデバイスの保護
サインインしているユーザーが Protected Users グループのメンバーである場合は、次の保護が適用されます。
[既定の資格情報の委任を許可する] グループ ポリシー設定が有効になっている場合でも、資格情報の委任 (CredSSP) では、ユーザーのプレーンテキストの資格情報はキャッシュされません。
Windows 8.1 と Windows Server 2012 R2 以降では、Windows ダイジェストが有効になっている場合でも、Windows ダイジェストではユーザーのプレーンテキストの資格情報はキャッシュされません。
注意
マイクロソフト セキュリティ アドバイザリ 2871997 をインストールすると、Windows ダイジェストでは、レジストリ キーが構成されるまで資格情報のキャッシュが継続されます。 詳細については、「マイクロソフト セキュリティ アドバイザリ: 資格情報の保護と管理を強化する更新プログラム: 2014 年 5 月 13 日」を参照してください。
NTLM では、ユーザーのプレーンテキストの資格情報または NT の一方向機能 (NTOWF) はキャッシュされません。
Kerberos では、DES キーまたは RC4 キーは作成されなくなります。 また、最初の TGT を取得した後で、ユーザーのプレーンテキストの資格情報や長期キーをキャッシュすることもありません。
キャッシュされた検証機能はサインイン時またはロック解除時に作成されないので、オフライン サインインはサポートされなくなりました。
ユーザー アカウントを Protected Users グループに追加した後に、ユーザーがデバイスにサインインすると、保護が開始されます。
Protected Users のドメイン コントローラー保護
Windows Server 2012 R2 ドメインに対して認証される Protected Users グループのメンバーであるアカウントは、次を実行できません。
NTLM 認証を使用して認証する。
Kerberos の事前認証で DES または RC4 の暗号化の種類を使用する。
制約なしの委任または制約付き委任を使用して委任する。
Kerberos TGT の最初の 4 時間の有効期間を延長する。
Protected Users グループのアカウントごとに、TGT の期限切れに対する構成可能ではない設定が指定されます。 通常、ドメイン コントローラーは、ドメイン ポリシー、[チケットの最長有効期間]、および [ユーザー チケットを更新できる最長有効期間] に基づいて TGT の有効期間と更新を設定します。 Protected Users グループの場合、このようなドメイン ポリシーに 600 分が設定されます。
詳細については、「保護されるアカウントの構成方法」をご覧ください。
トラブルシューティング
2 つの運用管理ログを使用して、Protected Users に関連するイベントを解決することができます。 これらの新しいログはイベント ビューアーに表示され、既定では無効です。ログは Applications and Services Logs\Microsoft\Windows\Authentication に保存されます。
| イベント ID とログ | 説明 |
|---|---|
| 104 ProtectedUser-Client |
理由:クライアントのセキュリティ パッケージに資格情報が含まれていません。 アカウントが Protected Users セキュリティ グループのメンバーである場合、エラーはクライアント コンピューターのログに記録されます。 このイベントは、サーバーに対して認証するために必要な資格情報をセキュリティ パッケージがキャッシュしていないことを示します。 パッケージ名、ユーザー名、ドメイン名、およびサーバー名を表示します。 |
| 304 ProtectedUser-Client |
理由: セキュリティ パッケージでは、Protected Users の資格情報は保存されません。 情報提供イベントが発生すると、セキュリティ パッケージがユーザーのサインイン資格情報をキャッシュしていないことを示すログがクライアントに記録されます。 ダイジェスト (WDigest)、資格情報の委任 (CredSSP)、および NTLM は、Protected Users のサインオン資格情報を取得できないと想定されます。 アプリケーションは、資格情報の入力を求めれば、成功することができます。 パッケージ名、ユーザー名、およびドメイン名を表示します。 |
| 100 ProtectedUserFailures-DomainController |
理由:NTLM のサインインの失敗は、Protected Users セキュリティ グループに属するアカウントの場合に発生します。 アカウントは Protected Users セキュリティ グループのメンバーだったために NTLM の認証が失敗したことを示すエラーが、ドメイン コントローラーのログに記録されます。 アカウント名とデバイス名を表示します。 |
| 104 ProtectedUserFailures-DomainController |
理由:DES または RC4 の暗号化の種類は Kerberos 認証に使用されており、Protected Users セキュリティ グループに属するユーザーのサインイン エラーが発生します。 アカウントが Protected Users セキュリティ グループのメンバーである場合、DES および RC4 の暗号化の種類を使用できないため、Kerberos の事前認証は失敗しました。 (AES は使用できます) |
| 303 ProtectedUserSuccesses-DomainController |
理由:Kerberos ticket-granting-ticket (TGT) は、Protected Users グループのメンバーに対して正常に発行されました。 |