GPO - Restricted Groups BUG

wlasnie odkrylem, ze w obsludze Restricted Groups w GPO jest bug.

Restricted Groups - jak dziala
z zalozenie RG daje mozliwosc zdefiniowana czlonkow grupy na poziomie GPO. daje to dodatkowy poziom zabezpieczenia - tym fajniejszy, ze pierwsza lepsza lama o tym nie wie.
scenariusz
dzien pelen pracy, jestesmy [zupelnie niezgodnie z zaleceniami polityki bezpieczenstwa] zalogowani na koncie z wysokimi uprawnieniami. tak wysokimi, ze pozwalaja dodac uzytkownika do grupy domain admins. w calym chaosie dnia odchodzimy od stacji, zapominajac ja zalockowac. pech chce, ze aqrat wypatrzyl do domorosly hakjer i szybciutko wykonal 'net group "domain admins" kontohakjera /add /domain', po czym zadowolony z siebie ulotnil sie. jesli zdefiniowane jest GPO, ktore okresla przynaleznosc do grupy domain admins poprzez Restricted Groups, to wszystkie DC podczas zaciagania polisy [czyli standardowo co 5min], usuna konto hakjera. ten wielce zdzwiony, po zalogowaniu skonstatuje, ze nie ma zadnych przywilejow.

BUG
korzystanie z RG jest bardzo dobrym, dodatkowym mechanizmem zabezpieczajacym przed podobnymi scenariuszami. jest jednak bug, pozwalajacy to ominac:
wystarczy poza dodaniem sie do grupy, ustawic ja jako 'primary group'. czyli jedno klikniecie wiecej, jesli robi sie to z interface'u. jest tak, poniewaz system nie pozwala usunac czlonkowstwa w grupie, z atrybutem primary.