Valutazione della sicurezza: account con ID gruppo primario non predefinito
Questa raccomandazione elenca tutti i computer e gli account utente il cui attributo primaryGroupId (PGID) non è l'impostazione predefinita per gli utenti e i computer di dominio in Active Directory.
Rischio dell'organizzazione
L'attributo primaryGroupId di un account utente o computer concede l'appartenenza implicita a un gruppo. L'appartenenza tramite questo attributo non viene visualizzata nell'elenco dei membri del gruppo in alcune interfacce. Questo attributo può essere usato come tentativo di nascondere l'appartenenza al gruppo. Potrebbe essere un modo furtivo per un utente malintenzionato di inoltrare privilegi senza attivare il normale controllo delle modifiche all'appartenenza ai gruppi.
Passaggi di correzione
Esaminare l'elenco delle entità esposte per individuare quali account hanno un primaryGroupId sospetto.
Eseguire l'azione appropriata su tali account reimpostando l'attributo sui valori predefiniti o aggiungendo il membro al gruppo pertinente:
Account utente: 513 (utenti di dominio) o 514 (guest di dominio);
Account computer: 515 (computer di dominio);
Account controller di dominio: 516 (controller di dominio);
Account controller di dominio di sola lettura: 521 (controller di dominio di sola lettura).