Верзија Ацтиве Дирецтори представљена у Виндовс Сервер 2012 Р2 уводи нову глобалну безбедносну групу за повећање нивоа сигурности привилегованих налога. - Заштићени корисници (Заштићени корисници) Очекује се да ће чланови ове групе добити додатни слој неприлагођене безбедности против компромисних веродостојности током процеса аутентификације..
Следећа ограничења важе за чланове ове групе:
- Чланови ове групе могу се аутентификовати само користећи Керберос протокол. Аутентификација помоћу НТЛМ, Дигест Аутхентицатион или ЦредССП не успијева.
- За кориснике ове групе, Керберос протокол не може користити слабе алгоритме шифрирања као што су ДЕС или РЦ4 током прелиминарне аутентификације (потребна је барем подршка АЕС-а) .
- Ови рачуни се не могу делегирати ограниченом или неограниченом Керберос делегацијом.
- Дугорочни Керберос тастери се не чувају у меморији, што значи да када ТГТ истекне (подразумевано 4 сата), корисник мора поново потврдити идентитет.
- За кориснике ове групе, подаци за пријаву у предмеморирану домену се не спремају. И.е. када контролери домена нису доступни, ови корисници неће моћи да се аутентификују на својим машинама путем кеширане поверљивости.
Група заштићених корисника доступна је само када Функционални ниво домена Виндовс Сервер 2012 Р2 (и изнад). Група ће се појавити на АД конзоли тек након што се ниво домена повећа и заврши репликација података између контролера домена. Ограничења заштићених корисника раде на Виндовс Сервер 2012 Р2 и Виндовс 8.1 (погледајте остале информације о ОС-у)
Група заштићених корисника је подразумевано празна и Мицрософт препоручује да јој додате критичне корисничке налоге (администратори домена, сервери итд.)..
Савет. Функционалност заштићене корисничке групе захтева ригорозно тестирање пре примене у продуктивном окружењу. Немојте одмах укључити једини администраторски налог домена у ову групу 🙂 .
Као пример, у ову групу ћемо додати академску евиденцију администратора домена и покушати да приступимо контролору домена путем ип адресе (у овом случају ће се за потврду идентитета уместо Кербероса користити протокол НТЛМ). Такав приступ ће бити одбијен.. 
На контролеру домена у одељку дневника Евиденција апликација и услуга -> Мицрософт -> Виндовс -> Аутентификација мора постојати запис:
Ид догађаја: 100, Извор: НТЛМ
Провјера идентитета НТЛМ није успјела јер је налог био члан заштићене корисничке групе.
Уз Керберос, аутентификација ће бити могућа на истом ресору, тј. НТЛМ није дозвољен за чланове групе заштићених корисника.
Иста ствар се догађа када покушате да се помоћу истог налога повежете са контролором домене путем ип адресе клијента Виндовс 8.1. 
Да бисте подржали технологију сигурне корисничке групе у системима Виндовс 7, Виндовс 8, Виндовс Сервер 2008Р2 и Виндовс Сервер 2012, ажурирање КБ2871997 мора бити инсталирано. На осталим оперативним системима ова заштита се неће применити..
Напомена. Рачуни услуга и / или рачунари не би требало да буду укључени у групу заштићених корисника. Ова група не пружа локалну заштиту јер лозинка налога увек је доступна на хост.
