Zitat von
mpca am 11. Mai 2022, 8:50 Uhr
https://www.windowspro.de/roland-eich/privilegierte-ad-konten-mitgliedschaft-protected-users-schuetzen
Die in Protected Users enthaltenen Benutzer können sich nicht mehr mit folgenden Mitteln authentifizieren bzw. unterliegen nach erfolgreicher Anmeldung folgenden Einschränkungen:
- NTLM, Digest Authentication und CredSSP.
Nur-Text-Passwörter werden nicht zwischengespeichert, so dass sich keines der Geräte, welches diese Protokolle verwendet, bei der Domäne authentifizieren kann.
- Kerberos-Langzeitschlüssel werden nicht mehr zwischengespeichert. Kerberos führt bei jeder Anforderung eine Authentifizierung durch.
- Die maximale Lebensdauer für das Kerberos-Ticket des Benutzers liegt bei 240 Minuten.
- Kerberos verwendet die schwache Verschlüsselung mit DES oder RC4 nicht mehr. Die Domäne muss daher für die Unterstützung von AES konfiguriert sein.
- Die Offline-Anmeldung an einem Gerät ist nicht mehr möglich.
- Weder constrained noch unconstrained Kerberos-Delegation werden unterstützt. Dies kann zu Einschränkungen bei der Administration führen ("Second Hop-Problem")
https://www.windowspro.de/roland-eich/privilegierte-ad-konten-mitgliedschaft-protected-users-schuetzen
Die in Protected Users enthaltenen Benutzer können sich nicht mehr mit folgenden Mitteln authentifizieren bzw. unterliegen nach erfolgreicher Anmeldung folgenden Einschränkungen:
- NTLM, Digest Authentication und CredSSP.
Nur-Text-Passwörter werden nicht zwischengespeichert, so dass sich keines der Geräte, welches diese Protokolle verwendet, bei der Domäne authentifizieren kann.
- Kerberos-Langzeitschlüssel werden nicht mehr zwischengespeichert. Kerberos führt bei jeder Anforderung eine Authentifizierung durch.
- Die maximale Lebensdauer für das Kerberos-Ticket des Benutzers liegt bei 240 Minuten.
- Kerberos verwendet die schwache Verschlüsselung mit DES oder RC4 nicht mehr. Die Domäne muss daher für die Unterstützung von AES konfiguriert sein.
- Die Offline-Anmeldung an einem Gerät ist nicht mehr möglich.
- Weder constrained noch unconstrained Kerberos-Delegation werden unterstützt. Dies kann zu Einschränkungen bei der Administration führen ("Second Hop-Problem")
