У цьому розділі описується принцип роботи групи захищених користувачів, коли
Делегування облікових даних за замовчуванням (CredSSP). Облікові дані у вигляді простого тексту не кешуються, навіть коли увімкнено групової політики Дозволити передачу облікових даних, встановлених за замовчуванням.
Дайджесту Windows. Облікові дані у вигляді простого тексту не кешуються, навіть коли включений дайджест Windows.
NTLM. Результат роботи незворотною функції NT, NTOWF, що не кешується.
Довготривалих ключів Kerberos. Ключі з вихідних запитів TGT Kerberos зазвичай кешуються, тому запити перевірки справжності не перериваються. Для облікових записів в цій групі протокол Kerberos здійснює перевірку справжності при кожному запиті.
Автономного входу. При вході не створюється блок перевірки в кеші.
Ненастраіваемие параметри закінчення терміну дії TGT задаються для кожного облікового запису в групі захищених користувачів. Зазвичай контролер домену встановлює термін дії і період оновлення TGT на підставі політик домену, Максимальний термін життя квитка користувача і Максимальний термін життя для відновлення квитка користувача. Для групи захищених користувачів для цих політик домену задається значення в 600 хвилин.
Після додавання облікового запису користувача в групу захищених користувачів захист діє вже при вході користувача в домен.
Вбудовані обмеження групи безпеки "Захищені користувачі"
Проходити перевірку автентичності за допомогою перевірки автентичності NTLM.
Використовувати шифрування DES і RC4 в попередній перевірці автентичності Kerberos.
Делегуватися в рамках необмеженого або обмеженого делегування.
Продовжувати дію TGT Kerberos понад вихідного чотиригодинного терміну дії.
Облікові записи служб і комп'ютерів не повинні входити в групу захищених користувачів. Це група не надає локального захисту, оскільки пароль або сертифікат завжди доступний на вузлі.
Причина: пакет безпеки в клієнті не містить облікових даних.
Містить ім'я пакета, ім'я користувача, ім'я домену та ім'я сервера.
Причина: пакет безпеки не містить облікових даних захищеного користувача.
Інформаційне подія реєструється в журналі клієнта, вказуючи, що пакет безпеки не кешируєт облікові дані користувача для входу. Очікується, що такі механізми перевірки автентичності, як дайджест (WDigest), делегування облікових даних (CredSSP) і NTLM, не можуть мати облікових даних захищених користувачів для входу. Однак додатки можуть виводити запит на введення облікових даних.
Містить ім'я пакета, ім'я користувача і ім'я домену.
Причина: для облікового запису, що входить до групи захищених користувачів, виникає помилка входу NTLM.
Містить ім'я облікового запису та ім'я пристрою.
Причина: в перевірці автентичності Kerberos використовується шифрування DES або RC4, і для користувача з групи безпеки "Захищені користувачі" виникає помилка входу.