Säkerhetsutvärdering: Konton med primärt grupp-ID som inte är standard
Den här rekommendationen visar alla datorer och användarkonton vars primaryGroupId-attribut (PGID) inte är standard för domänanvändare och datorer i Active Directory.
Organisationsrisk
Attributet primaryGroupId för ett användar- eller datorkonto beviljar implicit medlemskap i en grupp. Medlemskap via det här attributet visas inte i listan över gruppmedlemmar i vissa gränssnitt. Det här attributet kan användas som ett försök att dölja gruppmedlemskap. Det kan vara ett dolt sätt för en angripare att eskalera privilegier utan att utlösa normal granskning för gruppmedlemskapsändringar.
Reparationssteg
Granska listan över exponerade entiteter för att se vilka av dina konton som har ett misstänkt primaryGroupId.
Vidta lämpliga åtgärder för dessa konton genom att återställa attributet till deras standardvärden eller lägga till medlemmen i den relevanta gruppen:
Användarkonton: 513 (domänanvändare) eller 514 (domängäster);
Datorkonton: 515 (domändatorer);
Domänkontrollantkonton: 516 (domänkontrollanter);
Skrivskyddade domänkontrollantkonton (RODC): 521 (skrivskyddade domänkontrollanter).