Verze Active Directory zavedená v systému Windows Server 2012 R2 představuje novou globální skupinu zabezpečení, která zvyšuje úroveň zabezpečení privilegovaných účtů. - Chráněné uživatele (Chráněné uživatele) Očekává se, že členové této skupiny obdrží během procesu autentizace další vrstvu nevlastního zabezpečení proti kompromisům přihlašovacích údajů..
Na členy této skupiny se vztahují tato omezení:
- Členové této skupiny se mohou autentizovat pouze pomocí protokolu Kerberos. Autentizace pomocí NTLM, Digest Authentication nebo CredSSP selhala.
- Pro uživatele této skupiny nemůže protokol Kerberos během předběžné autentizace používat slabé šifrovací algoritmy, jako je DES nebo RC4 (je vyžadována alespoň podpora AES) .
- Tyto účty nelze delegovat prostřednictvím omezené nebo neomezené delegace Kerberos.
- Dlouhodobé klíče Kerberos nejsou uloženy v paměti, což znamená, že když vyprší platnost TGT (ve výchozím nastavení 4 hodiny), musí se uživatel znovu autentizovat.
- Uživatelé této skupiny se neuloží data pro přihlášení do mezipaměti. I.e. Pokud nejsou řadiče domény k dispozici, nebudou tito uživatelé moci na svých počítačích ověřovat prostřednictvím pověření uložených v mezipaměti.
Skupina chráněných uživatelů je k dispozici, pouze pokud Funkční úroveň domény systému Windows Server 2012 R2 (a výše). Skupina se v konzole AD objeví až po zvýšení úrovně domény a ukončení replikace dat mezi řadiči domény. Omezení chráněných uživatelů fungují na Windows Server 2012 R2 a Windows 8.1 (viz další informace o OS níže)
Ve výchozím nastavení je skupina chráněných uživatelů prázdná a společnost Microsoft do ní doporučuje přidat důležité uživatelské účty (správci domény, servery atd.)..
Tip. Funkčnost chráněné skupiny uživatelů vyžaduje důkladné testování před implementací v produktivním prostředí. Nezahrnujte do této skupiny okamžitě jediný účet správce domény 🙂 .
Jako příklad přidáme do této skupiny akademický záznam administrátora domény a pokusíme se získat přístup k řadiči domény pomocí ip adresy (v tomto případě bude pro ověřování místo Kerberos použit protokol NTLM). Takový přístup bude odepřen.. 
Na řadiči domény v části protokolu Protokoly aplikací a služeb -> Microsoft -> Windows -> Ověřování musí existovat záznam:
Id události: 100, Zdroj: NTLM
Ověřování NTLM se nezdařilo, protože účet byl členem skupiny chráněných uživatelů.
U Kerberos bude autentizace možná na stejném prostředku, tj. NTLM není povoleno pro členy skupiny chráněných uživatelů.
Totéž se stane, když se pokusíte připojit pomocí stejného účtu k řadiči domény pomocí IP adresy od klienta Windows 8.1. 
Aby byla podporována technologie zabezpečené skupiny uživatelů ve Windows 7, Windows 8, Windows Server 2008R2 a Windows Server 2012, musí být nainstalována aktualizace KB2871997. U ostatních operačních systémů nebude tato ochrana použita..
Poznámka:. Účty služeb nebo počítače by neměly být zahrnuty do skupiny Chráněných uživatelů. Tato skupina neposkytuje místní ochranu, protože heslo účtu je vždy k dispozici na hostiteli.
