Sicherheitsgruppe "Geschützte Benutzer"

Gilt für:: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Die globale Sicherheitsgruppe „Geschützte Benutzer“ für Active Directory wurde zum Schutz vor Angriffen zum Diebstahl von Anmeldeinformationen entwickelt. Die Gruppe löst nicht konfigurierbaren Schutz auf Geräten und Hostcomputern aus, um zu verhindern, dass Anmeldeinformationen bei der Anmeldung von Gruppenmitgliedern zwischengespeichert werden.

Prerequisites

Ihr System muss die folgenden Voraussetzungen erfüllen, bevor Sie eine Gruppe "Geschützte Benutzer" bereitstellen können:

Auf den Hosts muss eines der folgenden Betriebssysteme ausgeführt werden:
- Windows 10 oder Windows 11
- Windows Server 2012 R2 oder höher mit den neuesten installierten Sicherheitsupdates
Die Domänenfunktionsebene muss Windows Server 2012 R2 oder höher sein. Weitere Informationen zu Funktionsebenen finden Sie unter Gesamtstruktur- und Domänenfunktionsebenen.

Note

Der integrierte Domänenadministrator (S-1-5-<domain>-500) ist immer von Authentifizierungsrichtlinien ausgenommen, auch wenn er einem Authentifizierungsrichtliniensilo zugewiesen ist. Weitere Informationen finden Sie unter Konfigurieren geschützter Konten.

Die Mitgliedschaft in globalen „Geschützte Benutzer“-Sicherheitsgruppe beschränkt die Mitglieder darauf, nur Advanced Encryption Standard (AES) für Kerberos zu verwenden. Mitglieder der Gruppe „Geschützte Benutzer“ müssen in der Lage sein, sich mit AES zu authentifizieren.

Von Active Directory angewendete Schutzmaßnahmen

Wenn Sie Mitglied der Gruppe "Geschützte Benutzer" werden, wendet Active Directory automatisch bestimmte vorkonfigurierte Steuerelemente an, die Benutzer erst ändern können, wenn sie keine Gruppenmitglieder mehr sind.

Geräteschutzmaßnahmen für angemeldete geschützte Benutzer

Wenn der angemeldete Benutzer Mitglied der Gruppe "Geschützte Benutzer" ist, bietet die Gruppe die folgenden Schutzmaßnahmen:

Bei der Delegierung von Anmeldeinformationen (CredSSP) werden die Nur-Text-Anmeldeinformationen des Benutzers auch dann nicht zwischengespeichert, wenn der Benutzer die Gruppenrichtlinieneinstellung Delegieren von Standardanmeldeinformationen zulassen aktiviert.
Windows Digest speichert die Nur-Text-Anmeldeinformationen des Benutzers nicht zwischen, auch wenn er Windows Digest aktiviert hat.
NTLM beendet das Zwischenspeichern der Klartext-Anmeldeinformationen des Benutzers oder der unidirektionalen NT-Funktion (NTOWF).
Kerberos beendet das Erstellen von Data Encryption Standard (DES) oder RC4-Schlüsseln. Kerberos speichert auch keine unverschlüsselten Anmeldeinformationen des Benutzers oder langfristige Schlüssel, nachdem das anfängliche Ticket Granting Ticket (TGT) erworben wurde.
Das System erstellt beim Anmelden oder Entsperren des Benutzers keinen zwischengespeicherten Prüfer, sodass Mitgliedssysteme die Offline-Anmeldung nicht mehr unterstützen.

Nachdem Sie der Gruppe "Geschützte Benutzer" ein neues Benutzerkonto hinzugefügt haben, werden diese Schutzmaßnahmen aktiviert, wenn sich der neue geschützte Benutzer bei ihrem Gerät anmeldet.

Domänencontroller-Schutzmaßnahmen für geschützte Benutzer

Geschützte Benutzerkonten, die sich bei einer Domäne authentifizieren, auf der Windows Server ausgeführt wird, können folgende Aktionen nicht ausführen:

Authentifizieren mit NTLM-Authentifizierung.
Verwenden Sie DES- oder RC4-Verschlüsselungstypen in der Kerberos-Vorauthentifizierung.
Delegieren Sie mit uneingeschränkter oder eingeschränkter Delegation.
Erneuern Sie Kerberos-TGTs über ihre ursprüngliche Lebensdauer von vier Stunden hinaus.

Die Gruppe „Geschützte Benutzer“ wendet nicht konfigurierbare Einstellungen für den TGT-Ablauf für jedes Mitgliedskonto an. Normalerweise legt der Domänencontroller die TGT-Lebensdauer und -Erneuerung basierend auf den folgenden beiden Domänenrichtlinien fest:

Max. Gültigkeitsdauer des Benutzertickets
Max. Zeitraum, in dem ein Benutzerticket erneuert werden kann

Bei Mitgliedern geschützter Benutzer legt die Gruppe diese Lebensdauerbeschränkungen automatisch auf 240 Minuten fest. Der Benutzer kann diesen Grenzwert nur ändern, wenn er die Gruppe verlässt.

Funktionsweise der Gruppe der geschützten Benutzer

Sie können der Gruppe "Geschützte Benutzer" mit folgenden Methoden Benutzer hinzufügen:

Benutzeroberflächentools, wie Active Directory-Verwaltungscenter oder Active Directory-Benutzer und -Computer.
PowerShell mithilfe des Add-ADGroupMember-Cmdlets .

Important

Fügen Sie niemals Konten für Dienste und Computer zur Gruppe "Geschützte Benutzer" hinzu. Für diese Konten bietet die Mitgliedschaft keinen lokalen Schutz, da das Kennwort und das Zertifikat immer auf dem Host verfügbar sind.
Fügen Sie Konten, die bereits Mitglieder von Gruppen mit hohen Berechtigungsstufen sind (z. B. „Unternehmensadministratoren“ oder „Domänenadministratoren“) nur hinzu, wenn Sie sicher sind, dass das Hinzufügen keine negativen Folgen haben wird. Benutzer mit hohen Berechtigungsstufen in „Geschützte Benutzer“ unterliegen den gleichen Beschränkungen und Einschränkungen wie normale Benutzer, und es ist nicht möglich, diese Einstellungen zu umgehen oder zu ändern. Wenn Sie alle Mitglieder dieser Gruppen zur Gruppe "Geschützte Benutzer" hinzufügen, ist es möglich, ihre Konten versehentlich zu sperren. Es ist wichtig, ihr System zu testen, um sicherzustellen, dass die obligatorischen Einstellungsänderungen den Kontozugriff für diese privilegierten Benutzergruppen nicht beeinträchtigen.

Mitglieder der Gruppe „Geschützte Benutzer“ können sich nur unter Verwendung von Kerberos mit AES authentifizieren. Für diese Methode sind AES-Schlüssel in Active Directory erforderlich. Der integrierte Administrator verfügt nicht über einen AES-Schlüssel, es sei denn, das Kennwort für die Domäne, in der Windows Server 2008 oder höher ausgeführt wird, wird geändert. Jedes Konto, dessen Kennwort von einem Domänencontroller mit einer früheren Version von Windows Server geändert wird, wird von der Authentifizierung gesperrt.

Um Sperrungen und fehlende AES-Schlüssel zu vermeiden, sollten Sie die folgenden Richtlinien befolgen:

Führen Sie keine Tests in Domänen aus, es sei denn, auf allen Domänencontrollern wird Windows Server 2008 oder höher ausgeführt.
Wenn Sie Konten von anderen Domänen migriert haben, müssen Sie das Passwort zurücksetzen, damit die Konten über AES-Hashes verfügen. Andernfalls können sich diese Konten möglicherweise nicht mehr authentifizieren.
Benutzer müssen ihre Kennwörter ändern, nachdem sie zu einer Domänenfunktionsebene von Windows Server 2008 oder höher gewechselt sind. Dadurch wird sichergestellt, dass sie über AES-Kennworthashes verfügen, nachdem sie Mitglied der Gruppe „Geschützte Benutzer“ wurden.

Active Directory-Eigenschaften der Gruppe „Geschützte Benutzer“

Die folgende Tabelle gibt die Active Directory-Eigenschaften der Gruppe „Geschützte Benutzer“ an.

Attribute	Value
Gut bekannte SID/RID	S-1-5-21-<Domäne>-525
Type	Domain Global
Standardcontainer	CN=Users, DC=<Domäne>, DC=
Standardelemente	None
Standardmitglied von	None
Geschützt durch AdminSDHolder?	No
Speichern, um aus Standardcontainer zu entfernen?	Yes
Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren?	No
Standardbenutzerrechte	Keine Standardbenutzerrechte.

Ereignisprotokolle

Es gibt zwei betriebliche Administrativprotokolle für die Fehlerbehebung von Ereignissen hinsichtlich geschützter Benutzer. Diese neuen Protokolle befinden sich in der Ereignisanzeige und sind standardmäßig deaktiviert. Sie befinden sich unter Anwendungs- und Dienstprotokolle\Microsoft\Windows\Authentifizierung.

So aktivieren Sie die Erfassung dieser Protokolle:

Klicken Sie mit der rechten Maustaste auf "Start" , und wählen Sie dann " Ereignisanzeige" aus.
Öffnen Sie Anwendungs- und Dienstprotokolle\Microsoft\Windows\Authentication.
Klicken Sie für jedes Zu aktivierende Protokoll mit der rechten Maustaste auf den Protokollnamen, und wählen Sie dann "Protokoll aktivieren" aus.

Ereignis-ID und Protokoll	Description
104 ProtectedUser-Client	Grund: Das Sicherheitspaket auf dem Client enthält nicht die Anmeldeinformationen. Der Fehler wird im Clientcomputer protokolliert, wenn das Konto Mitglied der Sicherheitsgruppe der geschützten Benutzer ist. Dieses Ereignis gibt an, dass das Sicherheitspaket die Anmeldeinformationen, die für die Authentifizierung beim Server erforderlich sind, nicht zwischenspeichert. Zeigt den Paketnamen, Benutzernamen, Domänennamen und den Servernamen an.
304 ProtectedUser-Client	Grund: Das Sicherheitspaket speichert die Anmeldeinformationen des geschützten Benutzers nicht. Ein Informationsereignis wird im Client protokolliert, um anzugeben, dass das Sicherheitspaket die Anmeldeinformationen des Benutzers nicht zwischenspeichert. Es kann sein, dass Digest (WDigest), Delegierung von Anmeldeinformationen (CredSSP) und NTLM keine Anmeldeinformationen für Mitglieder von „Geschützte Benutzer“ haben. Anwendungen können weiterhin erfolgreich nach Anmeldeinformationen fragen. Zeigt den Paketnamen, Benutzernamen und Domänennamen an.
100 ProtectedUserFailures-DomainController	Grund: Ein NTLM-Anmeldefehler ereignet sich für ein Konto in der Sicherheitsgruppe „Geschützte Benutzer“. Im Domänencontroller wird ein Fehler protokolliert, um anzugeben, dass die NTLM-Authentifizierung fehlgeschlagen ist, da das Konto Mitglied der Sicherheitsgruppe der geschützten Benutzer ist. Zeigt den Kontonamen und den Gerätenamen an.
104 ProtectedUserFailures-DomainController	Grund: DES- oder RC4-Verschlüsselungstypen werden für die Kerberos-Authentifizierung verwendet, und ein Anmeldefehler ereignet sich für einen Benutzer in der Sicherheitsgruppe „Geschützte Benutzer“. Fehler bei der Kerberos-Vorauthentifizierung, da DES- und RC4-Verschlüsselungstypen nicht verwendet werden können, wenn das Konto Mitglied der Sicherheitsgruppe "Geschützte Benutzer" ist. (AES wird akzeptiert.)
303 ProtectedUserSuccesses-DomainController	Grund: Für ein Mitglied der Gruppe „Geschützte Benutzer“ wurde ein Kerberos-TGT ausgestellt.

Feedback

War diese Seite hilfreich?

Last updated on 2025-08-02