ローカルユーザーアカウントのSIDを手動で変更することはできますか?
議論のために、WindowsローカルユーザーアカウントのSIDを、架空のActiveDirectoryドメインに表示されるSIDに変更したいとします。それは可能ですか?もしそうなら、どのように?
P.S.私は実際にどのように知っている必要はありません...私が気にしているのは、それが明らかに可能であり、理論的にはネットワーク上の悪意のあるユーザーがこれを行うことができるということです...そして彼らがそうするために必要なスキル。
SAMデータベース(レジストリのHKEY_LOCAL_MACHINE\Securityの下)を編集することで技術的には可能ですが、バイナリ形式を理解する必要がありますそこで使用されます。 これを行うツールがありますNewSid –通常はopposite探しているものの、それにもかかわらずはコンピューター全体でマシンSIDとユーザーSIDを変更することができました。 NewSid Webページには、これがどのように行われるかに関する情報があります。
しかし、それはあまり達成されません。 SIDはローカルでのみ使用されます。どのSIDを使用しているかは関係ありません。追加のネットワークリソースにアクセスすることはできません。 (これは、NewSidユーティリティを廃止したときのSysInternalsによって与えられた引数に似ています-次の場合、新しいマシンSIDが作成されます同一のSIDを持つマシンのクローンを作成しましたが、同一のマシンSID、したがって同一のユーザーSIDは、ネットワークセキュリティにまったく影響を与えないと説明されました。)
ネットワーク認証の場合、Active Directoryは Kerberos を使用し、場合によっては(現在は非推奨) [〜#〜] ntlm [〜#〜] を使用します。どちらも、パスワードを使用してユーザーを認証します。または同様の資格情報。
[〜#〜] s [〜#〜]ecurity[〜#〜] idはできません[〜#〜]endtifierは、作成時の環境変数に基づいて作成されます。それらはユニークであり、書きすぎではありません。
企業の1つのドメインで作成されたアカウントまたはグループのSIDが、同じ企業の別のドメインで作成されたアカウントまたはグループのSIDと一致することはありません。
もしあなたがそれをなんとかやったとしたら、ドメインはそれをある種の奇妙なものと見なし、アクセスを拒否したり、他の奇妙なことをしたりするだろうと私は思う。