使用者主要群組

我們通常會使用群組來授予環境中資源的存取權，但另一個較不為人知卻同等重要的 Active Directory (AD) 功能 Primary Group 也同樣可用於授予資源的存取權。
Primary Group ID (PGID) 是由 Microsoft 建立的機制，用於支援儲存群組成員資格的方式不同於 Windows 的舊版 UNIX 應用程式。
因此，成為群組成員或為此群組設定 Primary Group 的運作方式和 AD 中完全相同。
Microsoft AD 管理軟體瞭解此功能，但這並不適用於所有的外部監控工具。
因此，使用 Primary Group 不是好方法，最糟的情況下還會引發安全性風險。

將所有使用者的 primaryGroupId 屬性設為安全值。

名稱: 使用者主要群組

代碼名稱: C-DANG-PRIMGROUPID

嚴重性: Critical

類型: Active Directory Indicator of Exposure

Family: 特權帳戶