Verzia Active Directory uvedená v systéme Windows Server 2012 R2 predstavuje novú globálnu skupinu zabezpečenia na zvýšenie úrovne zabezpečenia privilegovaných účtov. - Chránení používatelia (Chránení používatelia). Od členov tejto skupiny sa očakáva, že počas autentifikačného procesu dostanú ďalšiu vrstvu neprispôsobivého zabezpečenia proti kompromitácii poverenia..
Na členov tejto skupiny sa vzťahujú tieto obmedzenia:
- Členovia tejto skupiny sa môžu autentifikovať iba pomocou protokolu Kerberos. Autentifikácia pomocou NTLM, Digest Authentication alebo CredSSP zlyhala.
- Pre používateľov tejto skupiny nemôže protokol Kerberos počas predbežnej autentifikácie používať slabé šifrovacie algoritmy, ako napríklad DES alebo RC4 (vyžaduje sa aspoň podpora AES). .
- Tieto účty nemožno delegovať prostredníctvom obmedzenej alebo neobmedzenej delegácie Kerberos.
- Dlhodobé kľúče Kerberos sa neukladajú do pamäte, čo znamená, že keď vyprší platnosť TGT (predvolene 4 hodiny), používateľ sa musí znovu autentifikovať.
- Pre používateľov tejto skupiny sa údaje pre prihlásenie do domény v vyrovnávacej pamäti neuložia. tj Ak radiče domény nie sú k dispozícii, títo používatelia sa nebudú môcť na svojich počítačoch autentifikovať prostredníctvom poverenia uloženého v pamäti.
Skupina chránených používateľov je k dispozícii iba vtedy, keď Funkčná úroveň domény systému Windows Server 2012 R2 (a vyššie). Skupina sa v konzole AD objaví až po zvýšení úrovne domény a ukončení replikácie údajov medzi radičmi domény. Obmedzenia chránených používateľov fungujú v systémoch Windows Server 2012 R2 a Windows 8.1 (pozrite si ďalšie informácie o OS nižšie)
V predvolenom nastavení je skupina chránených používateľov prázdna a spoločnosť Microsoft odporúča, aby ste do nej pridali kritické používateľské účty (správcovia domén, servery atď.)..
rada. Funkčnosť chránenej skupiny používateľov si pred implementáciou do produktívneho prostredia vyžaduje dôkladné testovanie. Nezahŕňajte okamžite jediný účet správcu domény v tejto skupine 🙂 .
Ako príklad pridáme do tejto skupiny akademický záznam administrátora domény a pokúsime sa získať prístup k radiču domény pomocou ip adresy (v tomto prípade sa na overenie použije namiesto protokolu Kerberos protokol NTLM). Takýto prístup bude zamietnutý.. 
Na radiči domény v sekcii denníka Protokoly aplikácií a služieb -> Microsoft -> Windows -> Autentifikácia musí existovať záznam:
Id udalosti: 100, zdroj: NTLM
Autentifikácia NTLM zlyhala, pretože účet bol členom skupiny Chránený užívateľ.
V prípade protokolu Kerberos bude autentifikácia možná na rovnakom prostriedku, t. NTLM nie je povolený pre členov skupiny Chránení používatelia.
To isté sa stane, keď sa pokúsite pripojiť pomocou rovnakého účtu k radiču domény pomocou adresy ip od klienta so systémom Windows 8.1. 
Na podporu technológie zabezpečenej skupiny používateľov v systémoch Windows 7, Windows 8, Windows Server 2008R2 a Windows Server 2012 musí byť nainštalovaná aktualizácia KB2871997. Na iné operačné systémy sa táto ochrana nebude uplatňovať..
poznámka. Účty služieb alebo počítače by nemali byť zahrnuté do skupiny Chránení používatelia. Táto skupina neposkytuje miestnu ochranu, pretože heslo účtu je vždy k dispozícii na hostiteľovi.
