次の方法で共有

セキュリティ評価: 既定以外のプライマリ グループ ID を持つアカウント

  • [アーティクル]

この推奨事項では、primaryGroupId (PGID) 属性が Active Directory 内のドメイン ユーザーとコンピューターの既定値ではないすべてのコンピューターとユーザー アカウントの一覧を示します。 

組織のリスク

ユーザーまたはコンピューター アカウントの primaryGroupId 属性は、暗黙的なメンバーシップをグループに付与します。 この属性を使用したメンバーシップは、一部のインターフェイスのグループ メンバーの一覧には表示されません。 この属性は、グループ メンバーシップを非表示にする試みとして使用できます。 これは、攻撃者がグループ メンバーシップの変更に対する通常の監査をトリガーせずに特権をエスカレートする隠密な方法である可能性があります。 

修復手順

  1. 公開されているエンティティの一覧を確認して、疑わしい primaryGroupId を持つアカウントを検出します。  

  2. 属性を既定値にリセットするか、関連するグループにメンバーを追加して、これらのアカウントに対して適切なアクションを実行します。

  • ユーザー アカウント: 513 (ドメイン ユーザー) または 514 (ドメイン ゲスト)

  • コンピューター アカウント: 515 (ドメイン コンピューター);

  • ドメイン コントローラー アカウント: 516 (ドメイン コントローラー);

  • 読み取り専用ドメイン コントローラー (RODC) アカウント: 521 (読み取り専用ドメイン コントローラー)。

次の手順