Protected Users 安全組可以避免那些高度敏感的賬戶身份憑據被本地緩存在域成員計算機中。它

會要求當這些在這個組中的高度敏感賬戶每一次登錄時，都需要由域控制器來驗證才可以登錄。

Protected Users 是一個新的組，用來讓你放置這些高度敏感的賬戶。你可以在 AD DS 中的 Users

container 找到它。要啟用受保護用戶，管理者只需要很簡單的將這些高度敏感的賬戶加到 Protected

Users 這個安全組中即可。

這個受保護用戶的功能是一種客戶端的功能，它用在域中的成員計算機中來保護域賬戶。受保護用戶功能

只有域成員計算機是下列的操作系統才支持：

Windows 8.1 或更新版本

Windows Server 2012 R2 或更新版本

較舊的操作系統版本不支持這個功能，所以就無法避免在 Protected Users 組中的用戶帳戶被緩存在本

地計算機中。在舊的操作系統中，要確保在 Protected Users 組中的用戶帳戶不被危害，得使用其他方

式來做保護比較恰當，例如：拒絕本地登錄 ( Deny log on locally ) 的安全配置。

受保護用戶如果使用有支持此功能操作系統的域成員計算機登錄時，將不可以使用下列協議：

默認身份憑據委派 ( Default credential delegation ) 或身份憑據安全支持提供程序

( Credential Security Support Provider ) ( CredSSP )

摘要式驗證 ( Digest authentication )

NTLM

當用戶是 Protected Users 安全組的成員時，下列會被應用：

用戶必須可以使用基於 AES 加密方式來進行身份驗證，因此所有的域控制器必須是 Windows Server

2008 級別或更新的版本。

在 Protected Users 組中的任何帳戶要變更密碼時，必須和 Windows Server 2008 或更新版本的域

控制器互動，以確保密碼是使用 AES 的加密方式。

在支持的域成員計算機，例如：Windows 10 和 Windows Server 2016，用戶的身份憑據是不會被緩

存在這些成員計算機中的。

用戶只能在與域控制器可以互動的狀況下，才可以登錄域中的成員計算機。對這些賬戶而言，脫機登

錄是辦不到的。當域成員計算機是脫機時，如果是使用 Protected Users 組中的成員來啟動的服

務，都會無法啟動。

頒發的 Kerberos TGT 票證的最長存留期和用戶票證更新的最長存留期是被限制為 240 分鐘 ( 4 小

時 )。雖然管理員使用域策略配置所有其他帳戶時，默認值票證的最長存留期為 10 小時，票證更新

的最長存留期為 7 天，但受保護用戶的硬式編碼 ( hard-coded ) 就是為 4 小時。

受保護用戶這個功能在一個域範圍之內是一種全局型的安全配置。這樣的配置並沒有辦法讓你只在特定的

設備保護特定的用戶。因此，請小心的使用這個受保護用戶功能，並且在依賴這個功能之前要進行測試。

本文出自 “1+1=？” 博客，請務必保留此出處http://lianggj.blog.51cto.com/176264/1927357

受保護用戶 ( Protected Users )