Le groupe de sécurité Utilisateurs protégés a été introduit avec Windows Server 2012 R2 et est toujours d’actualité dans Windows Server 2019. Ce groupe utilisateurs a été développé pour apporter une meilleure protection des comptes à privilèges élevés (administrateurs, comptes admin fonctionnels, etc) contre les attaques de vol d’informations d’identification. Les membres de ce groupe ont une protection non configurable appliquée. Pour utiliser le groupe Utilisateurs protégés, Le contrôleur e Domaine doit être sous Windows Server 2012r2 minimum et les clients doivent être sous Windows 8.1 minimum ou Windows 2012 R2.

Les comptes de service et les ordinateurs ne peuvent pas être membres du groupe de sécurité des utilisateurs protégés. Ces comptes peuvent être protégés à l’aide de différentes fonctionnalités, telles que les silos de règles, que j’expliquerai plus loin dans ce chapitre.

Pour commencer, nous pouvons examiner le groupe de sécurité Utilisateurs protégés à l’aide de la commande suivante:

Get-ADGroup -Identity "protected users"

Ce groupe se trouve dans le conteneur Utilisateurs par défaut dans AD.

Ici, nous allons ajouter le compte d’utilisateur Adam au groupe Utilisateurs protégés à l’aide de la commande suivante:

Get-ADGroup -Identity "Protected Users" | Add-ADGroupMember -Members "CN=wstaff,OU=Utilisateurs,DC=apc,DC=in2p3,DC=fr"

La première partie de la commande récupère le groupe et la seconde partie y ajoute l’utilisateur wstaff.

Une fois l’utilisateur ajouté au groupe, nous pouvons vérifier l’appartenance au groupe à l’aide de la commande suivante:

Get-ADGroupMember -Identity "Protected users"