ITよろづや

ITから生活の参考になる情報を備忘録代わりに残していきます

Windows ローカル ユーザー アカウントの SID を手動で変更できるか

Windows ローカル ユーザー アカウントの SID を手動で変更できるかに関する情報です。

 

基本的にSIDはマシン毎に固有で作成されて、おそらく重複しないようになっていると思います。※クローンした場合は別です

 

このSIDが変更可能かということで、以下がヒットしました。

windows - Is it possible to change the SID of a local user account manually? - Super User

 

質問の抜粋です。※機械翻訳

 

===

議論のために、Windows ローカル ユーザー アカウントの SID を、仮想の Active Directory ドメインに表示されるものに変更したいとします。それは可能ですか?もしそうなら、どのように?

 

PS私が実際にどのように知る必要はありません...私が気にするのは、それが明らかに可能であり、理論的にはネットワーク上の悪意のあるユーザーがこれを行うことができるということです...そして彼らがそうするためにどれだけのスキルが必要か.

===

 

 

回答です。以前はツールがあったようですが、調べたら古い情報しかでてこなかったです。

 

===

SAM データベース (レジストリの下) を編集することで、技術的には可能HKEY_LOCAL_MACHINE\Securityですが、そこで使用されているバイナリ形式を理解する必要があります。NewSidなど、これを行うツールが存在します。ただし、通常は探しているものとは反対のことを行いますが、コンピューター全体でマシン SID とユーザー SID を変更することができました。NewSid Web ページには、これがどのように行われるかについての情報があります。

 

しかし、それはあまり達成されません。SID はローカルでのみ使用されます。使用している SID は関係ありません。追加のネットワーク リソースにアクセスすることはできません。(これは、SysInternals が NewSid ユーティリティを廃止したときに与えた議論に似ています。同一の SID を持つマシンのクローンを作成した場合、新しいマシン SID が作成されますが、同一のマシン SID、したがって同一のユーザー SID を持つことは、ネットワークセキュリティへの影響はありません。 )

 

ネットワーク認証のために、Active Directory はKerberosを使用し、場合によっては (現在は廃止されている) NTLMを使用します。どちらも、パスワードまたは同様の資格情報を使用してユーザーを認証します。

===

 

好きな値にすることはできなさそうですね。

 

===

ローカル マシンの SID をドメインの SID と同じに変更しようとすると、どうなるかはご存知のとおりです。あらゆる種類のことがうまくいかないことが予想できます。ただし、おっしゃる通り、ドメイン内で特別な権限が与えられるわけではありません。

===

 

 

バッファロー マウス 無線 ワイヤレス 静音 5ボタン 【戻る/進むボタン搭載】dpi切替 BlueLED ブラック BSMBW325BK