В версии Active Directory, представленной в Windows Server 2012 R2, с целью повышения уровня защищённости безопасности привилегированных учетных записей появилась новая глобальная группа безопасности — Защищенные пользователи ( Protected Users ). Предполагается, что члены этой группы получают дополнительный уровень ненастраиваемой защиты против компрометации учетных данных во время выполнения процедуры проверки подлинности.
На членов этой группы действуют следующие ограничения:
Группа Protected Users доступна только при функциональном уровне домена Windows Server 2012 R2 (и выше). Группа появится в консоли AD только после повышения уровня домена и окончания репликации данных между контроллерами домена. Ограничения Protected Users работают на Windows Server 2012 R2 и Windows 8.1 (информация о других ОС ниже)
По умолчанию группа Protected Users group пустая и Microsoft рекомендует добавить в нее учетные записи критичных пользователей (администраторов домена, серверов и т.п).
Для примера добавим в эту группу ученую запись администратора домена и попытаемся получить доступ к контроллеру домена по ip адресу (в этом случае для аутентификации будет принудительно использоваться протокол NTLM вместо Kerberos). Такой доступ будет запрещен.
На контроллере домена в разделе журналов Aplication and Services Logs -> Microsoft -> Windows -> Authentication должна присутствовать запись:
Event Id: 100, Source : NTLM
NTLM authentication failed because the account was a member of the Protected User group.
С помощью Kerberos на этом же ресурсе аутентифицироваться получится, т.е. NTLM для членов группы Protected Users запрещен .
То же самое произойдет при попытке подключиться с помощью этой же учетной записи к контроллеру домена по ip адресу с клиента Windows 8.1.
Для поддержки технологии защищенной группы пользователей в Windows 7, Windows 8, Windows Server 2008R2, and Windows Server 2012 необходимо установить обновление KB2871997. На других ОС данная защита применяться не будет.
Клиент удаленного рабочего стола (rdp) предоставляет нам возможность войти на сервер терминалов через консоль. Что…
В VMware Workstation есть несколько способов настройки сети гостевой машины: 1) Bridged networking 2) Network…
Встроенный брандмауэр Windows может не только остановить нежелательный трафик на вашем пороге, но и может…
Вопреки распространенному мнению, отключить IPv6 в Windows Vista и Server 2008 это не просто снять…
Параметры экранной заставки для текущего пользователя можно править из системного реестра, для чего: Запустите редактор…
В этой статье расскажу про возможность просмотра журналов событий из командной строки. Эти возможности можно…