Active Directory „Geschützte Benutzer“

Organisationen, der Verzeichnisdienst von Microsoft Active DirectoryEs wird häufig verwendet. Microsoft bietet mit Windows Server 2012 R2 überlegenen Schutz vor IdentitätsdiebstahlGeschützte Benutzer“ führte eine Sicherheitsgruppe namens ein.

Die Gruppe „Geschützte Benutzer“ ist zuverlässiger und bietet besseren Schutz vor Identitätsdiebstahl.

Die Gruppe „Geschützte Active Directory-Benutzer“ arbeitet nicht mit CACHE-Logik und verwendet kein NTLM. Daher wird kein LSAAS-Speicher verwendet.

Funktionen und Struktur der durch Active Directory geschützten Gruppe

"Geschützte BenutzerDie Hauptmerkmale der „Gruppe“ sind:

• NTLM wird nicht verwendet: Geschützte Gruppe Mitglieder NTLM nicht verwendet. Nur Kerberos Sie überprüfen anhand des Protokolls. Das liegt auf dem Server Kerberos Dies bedeutet, dass der Anmeldevorgang nicht durchgeführt werden kann, wenn die Dienste nicht funktionieren.
• CACHE wird nicht verwendet: Geschützte Gruppe für Mitglieder Kerberos Das Protokoll führt für jede Anfrage eine unabhängige Validierung durch und daher wird das Ticket Granting Ticket (TGT) nicht zwischengespeichert.
• Offline-Anmeldung: Mitglieder dieser Gruppe melden sich immer offline an, was die Sicherheit des Systems erhöht.
• Sichere Verschlüsselungsprotokolle"Geschützte Benutzer„Gruppenmitglieder verfügen über Verschlüsselungstypen mit geringer Sicherheit. DES veya RC4Wird nicht verwendet. Stattdessen die Domäne AES müssen den Normen entsprechen.

Anforderungen an geschützte Gruppen

Um die geschützte Gruppe verwenden zu können, muss das Active Directory-Schema mindestens der Version Server 2012 R2 (69) entsprechen. Darüber hinaus beträgt der TGT-Erneuerungszeitraum für Mitglieder dieser Gruppe 4 Stunden. Wenn dieser Zeitraum abläuft, müssen sich Benutzer erneut authentifizieren, um im System zu bleiben.

Geschützte Gruppe Active Directory Schema Server 2012 R2 Es sollte (69) sein.

Hinzufügen und Verwalten geschützter Gruppenmitglieder

Zur Verwaltung der Mitglieder der Gruppe „Geschützte Benutzer“ können ADAC-, ADUC- oder PowerShell-Tools verwendet werden.

Mit dem folgenden Befehl können Sie mit Powershell Mitglieder zur geschützten Gruppe hinzufügen.

Get-ADGroup -Identity "Protected Users" | Add-ADGroupMember –Members "CN=Cengiz,CN=Users,DC=cengizyilmaz,DC=net"

Aktive Verzeichnisse Benutzer und Computer So fügen Sie Mitglieder hinzu:

ADUC – Benutzer Indem Sie die Schritte von „ befolgenGeschützte BenutzerWir öffnen die Gruppe „ und wählen im Schritt „Mitglieder“ einfach die Benutzer aus, die wir hinzufügen möchten.

So zeigen Sie Gruppenmitglieder mit Powershell an:

Get-ADGroup -Identity "Protected Users"

Mit Tools wie Mimikatz kann die Wirksamkeit und Sicherheit der Gruppe „Geschützte Benutzer“ getestet werden.

Zur Überprüfung der TGT-Ticketdauer von Benutzern vor und nach der Mitgliedschaft klist Befehl verwendet werden kann. Der TGT-Verlängerungszeitraum für Benutzer, die Mitglieder der Gruppe „Geschützte Benutzer“ sind, wird von 10 Stunden auf 4 Stunden verkürzt.

Sie können den Link unten lesen, um unseren Artikel für Active Directory gMSA zu lesen.

• Was ist GMSA (Group Managed Service Accounts) und wie wird es konfiguriert? – Cengiz YILMAZ

Für den Artikel, der für Exchange Server Active Directory-Schemaversionen erstellt wurde:

• Exchange Server Active Directory-Versionen – Cengiz YILMAZ

Ähnliche Artikel – Active Directory „Geschützte Benutzer“

• „NoSupportException“-Fehler beim Zugriff auf das Postfach einer neu erstellten Datenbank in Exchange Server
• Gruppenbasierte Microsoft 365-Lizenzierung
• November-Sicherheitsupdate für Exchange Server veröffentlicht
• So deaktivieren Sie NetBIOS und das LLMNR-Protokoll