Protected Users セキュリティ グループProtected Users Security Group

適用先:Windows Server (半期チャネル)、Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

ここでは、IT プロフェッショナル向けに、Active Directory のセキュリティ グループである Protected Users と、そのしくみについて説明します。This topic for the IT professional describes the Active Directory security group Protected Users, and explains how it works. このグループは、Windows Server 2012 R2 ドメインコントローラーで導入されました。This group was introduced in Windows Server 2012 R2 domain controllers.


このセキュリティグループは、企業内の資格情報の公開を管理する戦略の一環として設計されています。This security group is designed as part of a strategy to manage credential exposure within the enterprise. このグループのメンバーのアカウントには、構成可能ではない保護が自動的に適用されます。Members of this group automatically have non-configurable protections applied to their accounts. Protected Users グループのメンバーであるということは、既定で制限的であり、予防的にセキュリティで保護されることを示します。Membership in the Protected Users group is meant to be restrictive and proactively secure by default. アカウントに関してこのような保護を変更する唯一の方法は、このセキュリティ グループからアカウントを削除することです。The only method to modify these protections for an account is to remove the account from the security group.


サービスとコンピューターのアカウントは、Protected Users グループのメンバーにはなりません。Accounts for services and computers should never be members of the Protected Users group. パスワードまたは証明書は常にホストで使用可能であるため、このグループは完全に保護されていない保護を提供します。This group provides incomplete protection anyway, because the password or certificate is always available on the host. " " Protected Users グループに追加されたサービスまたはコンピューターのユーザー名またはパスワードが間違っているというエラーが表示され、認証が失敗します。Authentication will fail with the error "the user name or password is incorrect" for any service or computer that is added to the Protected Users group.

このドメイン関連のグローバルグループは、windows server 2012 R2 を実行しているプライマリドメインコントローラーを持つドメイン内のユーザーに対して、Windows Server 2012 R2 以降を実行 Windows 8.1 しているデバイスとホストコンピューターで、構成可能ではない保護をトリガーします。This domain-related, global group triggers non-configurable protection on devices and host computers running Windows Server 2012 R2 and Windows 8.1 or later for users in domains with a primary domain controller running Windows Server 2012 R2 . これにより、ユーザーがこれらの保護を使用してコンピューターにサインインするときに、資格情報の既定のメモリフットプリントが大幅に削減されます。This greatly reduces the default memory footprint of credentials when users sign-in to computers with these protections.

詳細については、このトピックの「 Protected Users グループのしくみ 」を参照してください。For more information, see How the Protected Users group works in this topic.

Protected Users グループの要件Protected Users group requirements

Protected Users グループのメンバーにデバイスの保護を提供するための要件は次のとおりです。Requirements to provide device protections for members of the Protected Users group include:

  • Protected Users グローバル セキュリティ グループは、アカウント ドメインのすべてのドメイン コントローラーにレプリケートされている。The Protected Users global security group is replicated to all domain controllers in the account domain.

  • Windows 8.1 と Windows Server 2012 R2 では、既定でサポートが追加されています。Windows 8.1 and Windows Server 2012 R2 added support by default. Microsoft セキュリティアドバイザリ 2871997 では、windows 7、windows Server 2008 R2、および windows server 2012 のサポートが追加されています。Microsoft Security Advisory 2871997 adds support to Windows 7, Windows Server 2008 R2 and Windows Server 2012.

Protected Users グループのメンバーにドメイン コントローラーの保護機能を提供するには、次の要件があります。Requirements to provide domain controller protection for members of the Protected Users group include:

  • ユーザーは、Windows Server 2012 R2 以上のドメイン機能レベルのドメインに存在する必要があります。Users must be in domains which are Windows Server 2012 R2 or higher domain functional level.

下位ドメインに保護されたユーザーのグローバルセキュリティグループを追加していますAdding Protected User global security group to down-level domains

Windows Server 2012 R2 より前のオペレーティングシステムを実行するドメインコントローラーでは、新しい保護されたユーザーセキュリティグループへのメンバーの追加をサポートできます。Domain controllers that run an operating system earlier than Windows Server 2012 R2 can support adding members to the new Protected User security group. これにより、ユーザーは、ドメインをアップグレードする前にデバイスの保護を利用できるようになります。This allows the users to benefit from device protections before the domain is upgraded.


ドメインコントローラーは、ドメインの保護をサポートしていません。The domain controllers will not support domain protections.

Protected Users グループを作成するには、Windows Server 2012 R2 を実行するドメインコントローラーに プライマリドメインコントローラー (PDC) エミュレーターの役割を転送 します。Protected Users group can be created by transferring the primary domain controller (PDC) emulator role to a domain controller that runs Windows Server 2012 R2. そのグループのオブジェクトが他のドメイン コントローラーにレプリケートされた後に、以前のバージョンの Windows Server が実行されているドメイン コントローラーで PDC エミュレーターの役割をホストできます。After that group object is replicated to other domain controllers, the PDC emulator role can be hosted on a domain controller that runs an earlier version of Windows Server.

Protected Users グループの AD プロパティProtected Users group AD properties

次の表は、Protected Users グループのプロパティの一覧です。The following table specifies the properties of the Protected Users group.

属性Attribute Value
既知の SID/RIDWell-known SID/RID S-1-5-21--525S-1-5-21--525
TypeType ドメイン グローバルDomain Global
既定のコンテナーDefault container CN=Users、DC=、DC=CN=Users, DC=, DC=
既定メンバーDefault members なしNone
~の既定のメンバーDefault member of なしNone
ADMINSDHOLDER で保護されているかProtected by ADMINSDHOLDER? いいえNo
既定のコンテナーから移動することができるかSafe to move out of default container? はいYes
このグループの管理をサービス管理者以外に委任することができるかSafe to delegate management of this group to non-service admins? いいえNo
既定のユーザー権利Default user rights 既定のユーザー権利はありませんNo default user rights

Protected Users グループのしくみHow Protected Users group works

ここでは、次の場合に Protected Users グループがどのように機能するかについて説明します。This section explains how the Protected Users group works when:

  • Windows デバイスで署名済みSigned in a Windows device

  • ユーザーアカウントドメインが Windows Server 2012 R2 以上のドメイン機能レベルにあるUser account domain is in a Windows Server 2012 R2 or higher domain functional level

署名済みの保護されたユーザーに対するデバイスの保護Device protections for signed in Protected Users

サインインしているユーザーが Protected Users グループのメンバーである場合は、次の保護が適用されます。When the signed in user is a member of the Protected Users group the following protections are applied:

  • [ 既定の資格情報の委任を許可 する] グループポリシー設定が有効になっている場合でも、資格情報の委任 (CredSSP) では、ユーザーのプレーンテキストの資格情報はキャッシュされません。Credential delegation (CredSSP) will not cache the user's plain text credentials even when the Allow delegating default credentials Group Policy setting is enabled.

  • Windows 8.1 と Windows Server 2012 R2 以降では、windows digest が有効になっている場合でも、ユーザーのプレーンテキストの資格情報はキャッシュされません。Beginning with Windows 8.1 and Windows Server 2012 R2, Windows Digest will not cache the user's plain text credentials even when Windows Digest is enabled.


Microsoft セキュリティアドバイザリ 2871997をインストールした後、レジストリキーが構成されるまで、Windows ダイジェストは引き続き資格情報をキャッシュします。After installing Microsoft Security Advisory 2871997 Windows Digest will continue to cache credentials until the registry key is configured. 詳細については 、「マイクロソフトセキュリティアドバイザリ: 資格情報の保護と管理を向上させるための更新プログラム: 2014 年5月 13 日」を参照してください。See Microsoft Security Advisory: Update to improve credentials protection and management: May 13, 2014 for instructions.

  • NTLM では、ユーザーのプレーンテキストの資格情報または NT の一方向の機能 (NTOWF) はキャッシュされません。NTLM will not cache the user's plain text credentials or NT one-way function (NTOWF).

  • Kerberos では、DES キーまたは RC4 キーは作成されなくなりました。Kerberos will no longer create DES or RC4 keys. また、最初の TGT を取得した後で、ユーザーのプレーンテキストの資格情報や長期キーをキャッシュすることもありません。Also it will not cache the user's plain text credentials or long-term keys after the initial TGT is acquired.

  • キャッシュされた検証は、サインイン時またはロック解除時に作成されないため、オフラインサインインはサポートされなくなりました。A cached verifier is not created at sign-in or unlock, so offline sign-in is no longer supported.

ユーザーアカウントが Protected Users グループに追加されると、ユーザーがデバイスにサインインしたときに保護が開始されます。After the user account is added to the Protected Users group, protection will begin when the user signs in to the device.

保護されたユーザーに対するドメインコントローラーの保護Domain controller protections for Protected Users

Windows Server 2012 R2 ドメインに対して認証される Protected Users グループのメンバーであるアカウントは、次のことを行うことができません。Accounts that are members of the Protected Users group that authenticate to a Windows Server 2012 R2 domain are unable to:

  • NTLM 認証を使用して認証する。Authenticate with NTLM authentication.

  • Kerberos の事前認証で DES または RC4 の暗号化の種類を使用する。Use DES or RC4 encryption types in Kerberos pre-authentication.

  • 制約なしの委任または制約付き委任を使用して委任する。Be delegated with unconstrained or constrained delegation.

  • Kerberos TGT の最初の 4 時間の有効期間を延長する。Renew the Kerberos TGTs beyond the initial four-hour lifetime.

Protected Users グループのアカウントごとに、TGT の期限切れに対する構成可能ではない設定が指定されます。Non-configurable settings to the TGTs expiration are established for every account in the Protected Users group. 通常、ドメイン コントローラーは、ドメイン ポリシー、[チケットの最長有効期間]、および [ユーザー チケットを更新できる最長有効期間] に基づいて TGT の有効期間と更新を設定します。Normally, the domain controller sets the TGTs lifetime and renewal, based on the domain policies, Maximum lifetime for user ticket and Maximum lifetime for user ticket renewal. Protected Users グループの場合、このようなドメイン ポリシーに 600 分が設定されます。For the Protected Users group, 600 minutes is set for these domain policies.

詳細については、「保護されるアカウントの構成方法」をご覧ください。For more information, see How to Configure Protected Accounts.


2 つの運用管理ログを使用して、Protected Users に関連するイベントを解決することができます。Two operational administrative logs are available to help troubleshoot events that are related to Protected Users. これらの新しいログはイベントビューアーにあり、既定で無効になっており、[ アプリケーションとサービス] Logs\Microsoft\Windows\Authentication にあります。These new logs are located in Event Viewer and are disabled by default, and are located under Applications and Services Logs\Microsoft\Windows\Authentication.

イベント ID とログEvent ID and Log 説明Description


理由:クライアントのセキュリティ パッケージに資格情報が含まれていません。Reason: The security package on the client does not contain the credentials.

アカウントが Protected Users セキュリティ グループのメンバーである場合、エラーはクライアント コンピューターのログに記録されます。The error is logged in the client computer when the account is a member of the Protected Users security group. このイベントは、サーバーに対して認証するために必要な資格情報をセキュリティ パッケージがキャッシュしていないことを示します。This event indicates that the security package does not cache the credentials that are needed to authenticate to the server.

パッケージ名、ユーザー名、ドメイン名、およびサーバー名を表示します。Displays the package name, user name, domain name, and server name.



理由: セキュリティパッケージに、保護されているユーザーの資格情報が格納されていません。Reason: The security package does not store the Protected User's credentials.

情報イベントは、セキュリティパッケージがユーザーのサインイン資格情報をキャッシュしていないことを示すために、クライアントに記録されます。An informational event is logged in the client to indicate that the security package does not cache the user's sign-in credentials. ダイジェスト (WDigest)、資格情報の委任 (CredSSP)、および NTLM は、Protected Users のサインオン資格情報を取得できないと想定されます。It is expected that Digest (WDigest), Credential Delegation (CredSSP), and NTLM fail to have sign-on credentials for Protected Users. アプリケーションは、資格情報の入力を求めれば、成功することができます。Applications can still succeed if they prompt for credentials.

パッケージ名、ユーザー名、およびドメイン名を表示します。Displays the package name, user name, and domain name.



理由:NTLM のサインインの失敗は、Protected Users セキュリティ グループに属するアカウントの場合に発生します。Reason: An NTLM sign-in failure occurs for an account that is in the Protected Users security group.

アカウントは Protected Users セキュリティ グループのメンバーだったために NTLM の認証が失敗したことを示すエラーが、ドメイン コントローラーのログに記録されます。An error is logged in the domain controller to indicate that NTLM authentication failed because the account was a member of the Protected Users security group.

アカウント名とデバイス名を表示します。Displays the account name and device name.



理由:DES または RC4 の暗号化の種類は Kerberos 認証に使用されており、Protected Users セキュリティ グループに属するユーザーのサインイン エラーが発生します。Reason: DES or RC4 encryption types are used for Kerberos authentication and a sign-in failure occurs for a user in the Protected User security group.

アカウントが Protected Users セキュリティ グループのメンバーである場合、DES および RC4 の暗号化の種類を使用できないため、Kerberos の事前認証は失敗しました。Kerberos preauthentication failed because DES and RC4 encryption types cannot be used when the account is a member of the Protected Users security group.

(AES は使用できます)(AES is acceptable.)



理由:Kerberos ticket-granting-ticket (TGT) は、Protected Users グループのメンバーに対して正常に発行されました。Reason: A Kerberos ticket-granting-ticket (TGT) was successfully issued for a member of the Protected User group.

その他のリソースAdditional resources