安全评估：具有非默认主组 ID 的帐户

此建议列出了其 primaryGroupId (PGID) 属性不是 Active Directory 中域用户和计算机的默认值的所有计算机和用户帐户。 

组织风险

用户或计算机帐户的 primaryGroupId 属性向组授予隐式成员身份。 在某些接口中，通过此属性的成员身份不会出现在组成员列表中。 此属性可用作隐藏组成员身份的尝试。 这可能是攻击者升级权限的一种隐秘方式，而不会触发对组成员身份更改的正常审核。 

修正步骤

1. 审查公开实体的列表，以发现哪些帐户具有可疑的 primaryGroupId。  

2. 对这些帐户采取适当的措施，将其属性重置为默认值或将成员添加到相关组：

• 用户帐户：513（域用户）或 514（域来宾）；

• 计算机帐户：515（域计算机）；

• 域控制器帐户：516（域控制器）；

• 只读域控制器 (RODC) 帐户：521（只读域控制器）。

后续步骤

• 详细了解 Microsoft 安全功能分数