Оценка безопасности: учетные записи с идентификатором основной группы, не используемой по умолчанию

Эта рекомендация содержит список всех компьютеров и учетных записей пользователей, атрибут primaryGroupId (PGID) которых не используется по умолчанию для пользователей домена и компьютеров в Active Directory. 

Риск организации

Атрибут primaryGroupId учетной записи пользователя или компьютера предоставляет неявное членство в группе. Членство через этот атрибут не отображается в списке членов группы в некоторых интерфейсах. Этот атрибут можно использовать как попытку скрыть членство в группе. Злоумышленник может незаметно повысить привилегии, не запуская обычный аудит изменений членства в группах. 

Действия по исправлению

1. Просмотрите список открытых сущностей, чтобы узнать, какие из ваших учетных записей имеют подозрительный primaryGroupId.  

2. Выполните соответствующие действия с этими учетными записями, сбросив их атрибут до значений по умолчанию или добавив участника в соответствующую группу:

• Учетные записи пользователей: 513 (пользователи домена) или 514 (гости домена);

• Учетные записи компьютеров: 515 (компьютеры домена);

• Учетные записи контроллеров домена: 516 (контроллеры домена);

• Учетные записи контроллера домена только для чтения (RODC): 521 (контроллеры домена только для чтения).

Дальнейшие действия

• Дополнительные сведения о оценке безопасности (Майкрософт)