Groupe principal de comptes utilisateur

Les groupes représentent le principal moyen de fournir des droits d'accès à des ressources dans un environnement AD, c'est pourquoi leurs membres doivent être considérés avec la plus grande attention. Une autre fonctionnalité Active Directory tout aussi importante, mais néanmoins moins connue, permet d'être utilisée pour atteindre le même objectif : le Groupe principal (Primary Group). Ce mécanisme a été créé afin de prendre en charge les applications UNIX, puisque, sur ce type de système, l'appartenance à un groupe n'est pas stockée de la même façon que sous Windows. Lors de la tentative d'accès à une ressource, être membre d'un groupe ou avoir un groupe principal défini pour ce groupe correspond exactement à la même chose pour Active Directory.
Les logiciels Microsoft dédiés à la gestion de l'Active Directory prennent correctement en charge ce cas spécifique, mais ce n'est pas le cas pour l'ensemble des outils tiers de supervision.
L'usage du mécanisme de Groupe Principal est ainsi à considérer, au mieux comme étant une mauvaise pratique, au pire un risque de sécurité à considérer.

Le groupe principal (primaryGroupId) de comptes utilisateur devrait être réinitialisé à une valeur non dangereuse.

Nom: Groupe principal de comptes utilisateur

Nom de code: C-DANG-PRIMGROUPID

Niveau de gravité: Critical