Active Directory « Utilisateurs protégés »

Organisations, service d'annuaire de Microsoft Le tiering Active DirectoryIl est largement utilisé. Microsoft offre une protection supérieure contre le vol d'identité avec Windows Server 2012 R2Utilisateurs protégés » a introduit un groupe de sécurité appelé.

Le groupe Utilisateurs protégés est plus fiable et offre une meilleure protection contre le vol d'identité.

Le groupe Utilisateurs protégés Active Directory ne fonctionne pas avec la logique CACHE et n'utilise pas NTLM ; la mémoire LSAAS n'est donc pas utilisée.

Fonctionnalités et structure du groupe protégé Active Directory

"Utilisateurs protégésLes principales caractéristiques du groupe « sont :

• Ne pas utiliser NTLM: Groupe protégé membres NTLM n'utilise pas. Juste Kerberos Ils vérifient avec le protocole. C'est sur le serveur Kerberos Cela signifie que le processus de connexion ne peut pas être effectué lorsque les services ne fonctionnent pas.
• Ne pas utiliser le CACHE: Groupe protégé pour les membres Kerberos Le protocole effectue une vérification indépendante pour chaque demande et donc le Ticket Granting Ticket (TGT) n'est pas mis en cache.
• Connexion hors ligne: Les membres de ce groupe se connectent toujours hors ligne, ce qui augmente la sécurité du système.
• Protocoles de cryptage sécurisés« Utilisateurs protégés" Les membres du groupe ont des types de cryptage de faible sécurité. DES Veya RC4N'utilise pas. Au lieu de cela, le domaine AES doit être conforme aux normes.

Exigences relatives aux groupes protégés

Pour utiliser le groupe protégé, le schéma Active Directory doit être au moins la version Server 2012 R2(69). De plus, la période de renouvellement TGT est de 4 heures pour les membres de ce groupe, et à l'expiration de cette période, les utilisateurs doivent se réauthentifier pour rester dans le système.

Groupe protégé Serveur de schéma Active Directory 2012 R2 Ce devrait être le cas (69).

Ajout et gestion de membres de groupes protégés

Les outils ADAC, ADUC ou PowerShell peuvent être utilisés pour gérer les membres du groupe Utilisateurs protégés.

Vous pouvez utiliser la commande suivante pour ajouter des membres au groupe protégé avec Powershell.

Get-ADGroup -Identity "Protected Users" | Add-ADGroupMember –Members "CN=Cengiz,CN=Users,DC=cengizyilmaz,DC=net"

Utilisateurs et ordinateurs Active Directory Pour ajouter des membres en utilisant ;

ADUC – Utilisateurs En suivant les étapes de "Utilisateurs protégésNous ouvrons le groupe " et sélectionnons simplement les utilisateurs que nous souhaitons ajouter à partir de l'étape Membres.

Pour afficher les membres d'un groupe à l'aide de Powershell :

Get-ADGroup -Identity "Protected Users"

Des outils tels que Mimikatz peuvent être utilisés pour tester l'efficacité et la sécurité du groupe d'utilisateurs protégés.

Pour vérifier la durée du ticket TGT des utilisateurs avant et après l'adhésion klist La commande peut être utilisée. La durée de renouvellement du TGT pour les utilisateurs membres du groupe Utilisateurs Protégés est réduite de 10 heures à 4 heures.

Vous pouvez consulter le lien ci-dessous pour lire notre article sur Active Directory gMSA.

• Qu'est-ce que GMSA (Group Managed Service Accounts) et comment le configurer ? – Cengiz YILMAZ

Pour l'article créé pour les versions de schéma Exchange Server Active Directory :

• Versions Active Directory du serveur Exchange – Cengiz YILMAZ

Articles similaires – Active Directory « Utilisateurs protégés »

• Erreur « NoSupportException » lors de l'accès à la boîte aux lettres sur une base de données nouvellement créée dans Exchange Server
• Licences basées sur le groupe Microsoft 365
• Publication de la mise à jour de sécurité de novembre d'Exchange Server
• Comment désactiver les protocoles NetBIOS et LLMNR