Windows ローカルユーザーアカウントの SID を手動で変更できるか

Windows ローカルユーザーアカウントの SID を手動で変更できるかに関する情報です。

基本的にSIDはマシン毎に固有で作成されて、おそらく重複しないようになっていると思います。※クローンした場合は別です

このSIDが変更可能かということで、以下がヒットしました。

windows - Is it possible to change the SID of a local user account manually? - Super User

質問の抜粋です。※機械翻訳

===

議論のために、Windows ローカルユーザーアカウントの SID を、仮想の Active Directory ドメインに表示されるものに変更したいとします。それは可能ですか？もしそうなら、どのように？

PS私が実際にどのように知る必要はありません...私が気にするのは、それが明らかに可能であり、理論的にはネットワーク上の悪意のあるユーザーがこれを行うことができるということです...そして彼らがそうするためにどれだけのスキルが必要か.

===

回答です。以前はツールがあったようですが、調べたら古い情報しかでてこなかったです。

===

SAM データベース (レジストリの下) を編集することで、技術的には可能HKEY_LOCAL_MACHINE\Securityですが、そこで使用されているバイナリ形式を理解する必要があります。NewSidなど、これを行うツールが存在します。ただし、通常は探しているものとは反対のことを行いますが、コンピューター全体でマシン SID とユーザー SID を変更することができました。NewSid Web ページには、これがどのように行われるかについての情報があります。

しかし、それはあまり達成されません。SID はローカルでのみ使用されます。使用している SID は関係ありません。追加のネットワークリソースにアクセスすることはできません。(これは、SysInternals が NewSid ユーティリティを廃止したときに与えた議論に似ています。同一の SID を持つマシンのクローンを作成した場合、新しいマシン SID が作成されますが、同一のマシン SID、したがって同一のユーザー SID を持つことは、ネットワークセキュリティへの影響はありません。 )

ネットワーク認証のために、Active Directory はKerberosを使用し、場合によっては (現在は廃止されている) NTLMを使用します。どちらも、パスワードまたは同様の資格情報を使用してユーザーを認証します。

===

好きな値にすることはできなさそうですね。

===

ローカルマシンの SID をドメインの SID と同じに変更しようとすると、どうなるかはご存知のとおりです。あらゆる種類のことがうまくいかないことが予想できます。ただし、おっしゃる通り、ドメイン内で特別な権限が与えられるわけではありません。

～

===