次の方法で共有

セキュリティ評価: 既定以外のプライマリ グループ ID を持つアカウント

  • [アーティクル]

この推奨事項には、Active Directory 内でドメイン ユーザーとコンピューターの primaryGroupId (PGID) 属性が既定ではないすべてのコンピューターおよびユーザー アカウントの一覧が示されます。 

組織のリスク

ユーザー アカウントまたはコンピューター アカウントの primaryGroupId 属性は、グループへのメンバーシップを暗黙的に付与します。 一部のインターフェイスでは、この属性によるメンバーシップがグループ メンバーの一覧に表示されません。 この属性は、グループ メンバーシップを非表示にするために使用されることがあります。 攻撃者がグループ メンバーシップの変更に関する通常の監査をトリガーせずに権限を昇格するための、ステルス的な方法として使用される可能性もあります。 

修復手順

  1. 露出しているエンティティの一覧を確認し、不審な primaryGroupId を持つアカウントを見つけます。  

  2. それらのアカウントに対する適切なアクションとして、属性を既定値にリセットするか、メンバーを関連グループに追加します。

  • ユーザー アカウント: 513 (ドメイン ユーザー) または 514 (ドメイン ゲスト)。

  • コンピューター アカウント: 515 (ドメイン コンピューター)。

  • ドメイン コントローラー アカウント: 516 (ドメイン コントローラー)。

  • 読み取り専用ドメイン コントローラー (RODC) アカウント: 521 (読み取り専用ドメイン コントローラー)。

次のステップ