ユーザープライマリグループ

グループは環境内のリソースへのアクセスを許可する通常の方法です。またあまり知られていませんが、同様に重要なもう 1 つの Active Directory (AD) 機能である Primary Group もリソースへのアクセスを許可します。
Primary Group ID (PGID) は、Windows とは異なる方法でグループメンバーシップを保存するレガシー UNIX アプリケーションをサポートするために Microsoft が作成したメカニズムです。
したがって、グループのメンバーであること、またはこのグループに Primary Group セットがあることは、AD においてはまったく同様に機能します。
Microsoft AD 管理ソフトウェアはこの機能を認識していますが、すべての外部監視ツールも認識しているわけではありません。
したがって、Primary Group を使用することは少なくともバッドプラクティスあり、最悪の場合は対処すべきセキュリティリスクであると見なされます。

すべてのユーザー primaryGroupId 属性を安全な値へリセットします。

名前: ユーザープライマリグループ

コード名: C-DANG-PRIMGROUPID

深刻度: Critical

タイプ: Active Directory Indicator of Exposure

Family: 特権アカウント