受保护的用户安全组
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016
本主题面向 IT 专业人员介绍 Active Directory 安全组受保护用户,并说明工作原理。 该组是在 Windows Server 2012 R2 域控制器中引入的。
概述
此安全组被设计为企业凭据暴露管理策略的一部分。 此组的成员将自动具有应用于其帐户的非可配置保护。 在默认情况下,受保护的用户组中的成员身份意味着受到限制并主动保护。 修改这些帐户保护的唯一方法是从安全组中删除该帐户。
警告
服务和计算机的帐户决不应是 Protected Users 组的成员。 此组不提供完整的保护,因为密码或证书在主机上始终可用。 对于添加到 Protected Users 组的任何服务或计算机,身份验证将失败,错误为“用户名或密码错误”。
这个与域相关的全局组在运行 Windows Server 2012 R2 和 Windows 8.1 或更高版本的设备和主机上为主域控制器运行 Windows Server 2012 R2 的域中的用户触发不可配置的保护。 当用户登录到具有这些保护的计算机时,这大大减少了凭证的默认内存占用。
有关详细信息,请参阅本主题中的 Protected Users 组的工作原理。
Protected Users 组的要求
为 Protected Users 组成员提供设备保护的要求包括:
受保护用户全局安全组被复制到帐户域中的所有域控制器。
默认情况下,Windows 8.1 和 Windows Server 2012 R2 添加了支持。 Microsoft 安全公告 2871997 向 Windows 7、Windows Server 2008 R2 和 Windows Server 2012 添加了支持。
为受保护用户组的成员提供域控制器保护的要求包括:
- 用户所在的域必须为 Windows Server 2012 R2 或更高的域功能级别。
将 Protected Users 全局安全组添加到下级域
运行低于 Windows Server 2012 R2 的操作系统的域控制器可支持将成员添加到新的 Protected Users 安全组。 这让用户可以在升级域之前受益于设备保护。
注意
域控制器将不支持域保护。
可以通过将主域控制器 (PDC) 模拟器角色传输到运行 Windows Server 2012 R2 的域控制器来创建 Protected Users 组。 将该组对象复制到其他域控制器后,PDC 模拟器角色可以托管在运行较早版本的 Windows Server 的域控制器上。
Protected Users 组 AD 属性
下表指定受保护的用户组的属性。
| 属性 | 值 |
|---|---|
| 已知 SID/RID | S-1-5-21-<domain>-525 |
| 类型 | 域全局 |
| 默认容器 | CN=Users, DC=<domain>, DC= |
| 默认成员 | 无 |
| 默认成员 | 无 |
| 通过 ADMINSDHOLDER 受保护吗? | 否 |
| 移出默认容器是否安全? | 是 |
| 将此组的管理委派给非服务管理员是否安全? | 否 |
| 默认用户权限 | 没有默认的用户权限 |
Protected Users 组的工作原理
本部分介绍在以下情况下受保护的用户组的工作原理:
已登录 Windows 设备
用户帐户域位于 Windows Server 2012 R2 或更高的域功能级别
已登录的受保护用户的设备保护
如果已登录用户是 Protected Users 组的成员,将应用以下保护:
凭据委派 (CredSSP) 不会缓存用户的纯文本凭据,即使启用了“允许委托默认凭据”组策略设置。
从 Windows 8.1 和 Windows Server 2012 R2 开始,即使启用了 Windows Digest,Windows Digest 也不会缓存用户的纯文本凭据。
注意
安装 Microsoft 安全公告 2871997 后,Windows Digest 将继续缓存凭据,直到配置好注册表项。 有关说明,请参阅 Microsoft 安全公告:更新以改进凭据保护和管理:2014 年 5 月 13 日。
NTLM 不会缓存用户的纯文本凭据或 NT 单向函数 (NTOWF)。
Kerberos 将不再创建 DES 或 RC4 密钥。 此外,在获取初始 TGT 后,它将不会缓存用户的纯文本凭据或长期密钥。
由于不会在登录或解锁时创建缓存验证程序,因此不再支持脱机登录。
将用户帐户添加到 Protected Users 组后,当用户登录设备时即开始保护。
受保护用户的域控制器保护
向 Windows Server 2012 R2 域进行身份验证的 Protected Users 组成员的帐户无法执行以下操作:
使用 NTLM 身份验证进行验证。
在 Kerberos 预身份验证中使用 DES 或 RC4 加密类型。
使用不受约束或约束的委派进行委派。
在超出最初的四小时生存期后续订 Kerberos TGT。
在受保护的用户组中为每个帐户建立 TGT 到期的非可配置设置。 通常,域控制器基于域策略、“用户票证最长生存期”和“用户票证续订的最长生存期”设置 TGT 生存期和续订。 对于受保护的用户组,为这些域策略设置为 600 分钟。
有关详细信息,请参阅如何配置受保护的帐户。
疑难解答
提供两个操作管理日志,以帮助对受保护用户的相关事件进行疑难解答。 这些新的日志位于事件查看器中,在默认情况下已禁用,并且位于“Applications and Services Logs\Microsoft\Windows\Authentication”下。
| 事件 ID 和日志 | 说明 |
|---|---|
| 104 “受保护用户客户端” |
原因:客户端上的安全程序包不包含这些凭据。 当该帐户是受保护的用户安全组的成员时,将在客户端计算机中记录错误。 此事件指示安全程序包不会缓存在对服务器进行身份验证时所需的凭据。 显示程序包名称、用户名、域名和服务器名称。 |
| 304 “受保护用户客户端” |
原因:安全程序包不会存储受保护用户的凭据。 在客户端上记录信息性事件,以指示安全程序包不会缓存用户的登录凭据。 预期结果是 Digest (WDigest)、凭据委派 (CredSSP) 和 NTLM 无法具有受保护用户的登录凭据。 如果提示输入凭据,则仍然能够成功执行应用程序。 显示程序包名称、用户名和域名。 |
| 100 ProtectedUserFailures-DomainController |
原因:对于在受保护的用户安全组中的帐户,发生 NTLM 登录失败。 在域控制器中记录错误,以指示 NTLM 身份验证失败,因为该帐户已是受保护用户安全组的成员。 显示帐户名称和设备名称。 |
| 104 ProtectedUserFailures-DomainController |
原因:DES 或 RC4 加密类型用于进行 Kerberos 身份验证,以及对于受保护用户安全组中的用户,发生登录故障。 Kerberos 预身份验证失败,因为当该帐户是受保护用户安全组的成员时,不能使用 DES 和 RC4 加密类型。 (AES 是可接受的。) |
| 303 ProtectedUserSuccesses-DomainController |
原因:对于受保护用户组的成员,已成功进行 Kerberos 票证授予票证 (TGT)。 |