[NT]管理者のパスワードを変更したユーザー名を確認するには

文書番号: 173939 - 対象製品
この記事は、以前は次の ID で公開されていました: JP173939
すべて展開する | すべて折りたたむ

概要

ユーザーおよびグループ管理の監査を使用可能にすると、ユーザーまたはグループのアカウントが変更されたときに、監査イベントが発生します。しかし、イベントは、変更を行ったユーザーのユーザー名ではなく、SID (セキュリティ ID) の一覧を作成します。

セキュリティのために、変更を行ったユーザーのユーザー名がわかったほうがよい場合があります。Administrator のアカウントに対応するレジストリ キーに対して行われた変更を監査することで、そのユーザー名を知ることができます。
先頭へ戻る | フィードバック

詳細

このプロシージャは、プライマリ ドメイン コントローラのコンソールで実行する必要があります。多数のレジストリの変更が関わっているため、このプロシージャは、WAN 上で行ってはいけません。

注意:レジストリは Windows NT システムの非常に重要なファイルです。レジストリの編集を誤ると、Windows NT が起動しなくなる等、再セットアップを余儀なくされるような事態が発生する恐れがあります。弊社ではレジストリ エディタの編集の結果による如何なる問題に対しても保証はい確かねます。レジストリはお客様の責任範囲でお使いください。

  1. ドメイン ユーザ マネージャを開き、[原則] メニューから [監査] を選択します。
  2. [監査するイベント] を選択し、[ファイルとオブジェクトへのアクセス] の成功と失敗のチェック ボックスをオンにします。
  3. [OK] ボタンをクリックし、ドメイン ユーザ マネージャを閉じます。
  4. REGEDT32 を開きます。
  5. HKEY_LOCAL_MACHINE 群のウィンドウを選択し、SAM キーを選択します。
  6. [セキュリティ] メニューから [アクセス権] を選択します。
  7. [既存のサブキーのアクセス権を置き換える] チェック ボックスをオンにします。
  8. Administrators ローカル グループの ACE を [特殊なアクセス権] から [フル コントロール] に変更します。
  9. [OK] をクリックして、アクセス権を変更します。
  10. 以下のキーに進みます。
    HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
  11. [セキュリティ] メニューから [監査] を選択し、[既存のサブキーのアクセス権を監査する] チェック ボックスを ON にします。
  12. 追加ボタンを押し、ユーザとグループの追加ダイアログを表示します。ダイアログの中で、Administrators ローカル グループを名前のリストに追加します。[OK] をクリックしてユーザとグループの追加ダイアログを終了します。
  13. 名前のリストの中の Administrators ローカル グループを選択し、[監査するイベント] の中から [値の設定] の成功と失敗のチェック ボックスをオンにします。
  14. [OK] ボタンをクリックして、レジストリ エディタを閉じます。
SAM キーおよびそのサブキーで Administrators ローカル グループに対するデフォルトのアクセス権を復元したい場合には、[DAC の書き込み] と [読み込り制御] のアクセス権だけを与えます。

Administratos アカウントに変更が行われると、いくつかのイベントが生成されます。変更を行ったユーザーを示すイベントは次のとおりです。 

   ID: 560
   ソース: Security
   種類: 成功の監査
   分類: オブジェクト アクセス

このイベントは、変更を行ったユーザー、変更の日付および時刻を示します。
先頭へ戻る | フィードバック

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 173939
(http://support.microsoft.com/kb/173939/EN-US/ )
(最終更新日 1997-11-21) をもとに作成したものです。



先頭へ戻る | フィードバック

プロパティ

文書番号: 173939 - 最終更新日: 2003年8月20日 - リビジョン: 3.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows NT Server 3.5
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
キーワード:?
kbinfo KB173939
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
先頭へ戻る | フィードバック

フィードバック

 
先頭へ戻る先頭へ戻る