受限群組與受保護使用者安全性群組

在 ADDS中, 受限群組(Restricted Groups)和受保護使用者安全性群組(Protected Users Security Groups)都是用來強化帳戶安全性與群組管理的機制, 但它們的目的與運作方式不同:

受限群組(Restricted Groups)

1. 目的: 受限群組是透過群組原則強制控制特定群組的成員清單, 主要用來維持安全性一致性, 避免群組成員被手動加入或移除w-studio.idv.tw

2. 運作方式:

在群組原則物件中設定「Restricted Groups」時, 可以指定:

。Members: 群組中應該有哪些帳戶(這個設定會完全覆蓋原本的群組成員)

。Member Of: 該群組應該是哪些群組的成員(只影響群組成員資格而不覆蓋整個清單)

3. 應用:

。常用於控制 Administrators、Power Users、Backup Operators等敏感群組的成員

。可防止有人手動將帳戶加入 Administrators群組, 因為每次群組原則套用時都會重設

4. 注意事項:

。一旦設定 Restricted Groups, 原本不在清單中的成員會被移除, 小心使用

。在較新版本的 AD中, 建議使用「受管理的服務帳戶(MSA)」與「群組原則偏好設定(GPP)」等更細緻控制方式

受保護使用者安全性群組(Protected Users Security Group)

1. 目的: 此群組是在 Windows Server 2012 R2及以後版本中引入, 用來提高特定帳戶的安全性, 限制他們的身份驗證與登入方式, 以降低遭竊風險

2. 運作方式:

將帳戶加入 Protected Users群組後, 該帳戶會受到以下限制(需 Windows Server 2012 R2以上網域控制站支援):

。不允許使用 NTLM驗證

。不允許使用 DES或 RC4加密

。Kerberos TGT存活時間限制為 4小時

。不允許帳戶快取憑證在本機儲存(不支援隱式登入)

3. 應用:

。建議給予「高權限帳戶(如 Domain Admins、Enterprise Admins)」使用, 防止被盜用

。適合用於需要高安全性的情境, 例如: 高階系統管理員, 企業內部安全負責人員

4. 注意事項:

。有些舊系統(例如依賴 NTLM的應用程式)可能不支援這些限制, 可能導致登入或服務失敗

。使用此群組需謹慎測試, 確保不會中斷現有系統服務