Langue :
Les groupes représentent le principal moyen de fournir des droits d'accès à des ressources dans un environnement. Cependant, une autre fonctionnalité Active Directory (AD) tout aussi importante, mais néanmoins moins connue, permet d'atteindre le même objectif : Primary Group.
Primary Group est un mécanisme créé par Microsoft afin de prendre en charge les applications UNIX héritées qui stockent les appartenances aux groupes différemment de Windows.
Ainsi, être membre d'un groupe ou avoir un Primary Group défini pour ce groupe correspond exactement à la même chose dans AD.
Les logiciels Microsoft dédiés à la gestion d'AD prennent correctement en charge ce cas spécifique, mais ce n'est pas le cas pour l'ensemble des outils de gestion tiers.
Par conséquent, l'utilisation de Primary Group est au mieux une mauvaise pratique, au pire un risque de sécurité à traiter.
Le groupe principal (primaryGroupId) de comptes utilisateur devrait être réinitialisé à une valeur non dangereuse.
Well-known security identifiers in Windows operating systems
Nom: Groupe principal de comptes utilisateur
Nom de code: C-DANG-PRIMGROUPID
Niveau de gravité: Critical
Gentil Kiwi: mimikatz - DCShadow