Această secțiune descrie cum funcționează grupul de utilizatori protejat, când
Delegați acreditările implicite (CredSSP). Acreditările în text simplu nu sunt stocate în memoria cache, chiar dacă setarea Group Policy permite transferul acreditărilor implicite.
Windows Digest. Acreditările în text simplu nu sunt stocate în memoria cache, chiar dacă Windows Digest este activat.
NTLM. Rezultatul muncii funcției ireversibile NT, NTOWF, nu este stocat în cache.
Cheile Kerberos pe termen lung. Cheile din cererile originale TGT Kerberos sunt, de obicei, memorate în cache, astfel încât cererile de autentificare nu sunt întrerupte. Pentru conturile din acest grup, protocolul Kerberos se autentifică cu fiecare solicitare.
Conectare offline. Când vă conectați, nu creați un cache.
Parametrii de expirare TGT nedisponibili sunt setați pentru fiecare cont din grupul de utilizatori protejați. În mod obișnuit, controlerul de domeniu stabilește perioada de valabilitate și perioada de actualizare TGT pe baza politicilor de domeniu, durata maximă de viață a biletului utilizatorului și durata maximă de viață pentru reînnoirea biletului utilizatorului. Pentru un grup de utilizatori protejați, este stabilită o valoare de 600 de minute pentru aceste politici de domeniu.
După ce contul de utilizator este adăugat la grupul de utilizatori protejați, protecția este eficientă chiar și atunci când utilizatorul se conectează la domeniu.
Restricții pentru grupurile de securitate încorporate "Utilizatorii protejați"
Autentificați utilizând autentificarea NTLM.
Utilizați criptarea DES și RC4 în pre-autentificarea Kerberos.
Delegată într-o delegație nerestricționată sau limitată.
Pentru a extinde acțiunea TGT Kerberos dincolo de perioada inițială de valabilitate de patru ore.
Conturile de serviciu și de computer nu trebuie să facă parte dintr-un grup de utilizatori protejați. Acest grup nu oferă protecție locală, deoarece parola sau certificatul sunt întotdeauna disponibile pe nod.
Cauză: Pachetul de securitate din client nu conține acreditări.
Conține numele pachetului, numele de utilizator, numele domeniului și numele serverului.
Cauză: Pachetul de securitate nu conține acreditările utilizatorului protejat.
Un eveniment de informații este înregistrat în jurnalul clientului, indicând faptul că pachetul de securitate nu stochează datele de conectare ale utilizatorului. Este de așteptat ca mecanismele de autentificare, cum ar fi WDigest, credentials credential (CredSSP) și NTLM, să nu poată avea autentificări securizate pentru utilizator. Cu toate acestea, aplicațiile pot solicita acreditări.
Conține numele pachetului, numele de utilizator și numele domeniului.
Cauză: Se întâmplă o eroare de conectare NTLM pentru un cont care face parte dintr-un grup de utilizatori protejați.
Conține numele contului și numele dispozitivului.
Cauză: autentificarea Kerberos utilizează criptarea DES sau RC4 și apare o eroare de intrare pentru utilizator din grupul de securitate Protected users.