ItemBox

4738(S) ユーザーアカウントが変更されました。

4738(S): ユーザーアカウントが変更されました。

:::image type=“content” source=“images/event-4738.png” alt-text=“イベント 4738 のイラスト。”:::

サブカテゴリ: ユーザーアカウント管理の監査

イベントの説明:

このイベントは、ユーザーオブジェクトが変更されるたびに生成されます。

このイベントは、ドメインコントローラー、メンバーサーバー、およびワークステーションで生成されます。

変更ごとに、別々の 4738 イベントが生成されます。

変更がない場合でも、このイベントが表示されることがあります。つまり、すべての 変更された属性- と表示される場合です。これは、イベントにリストされていない属性が変更された場合に通常発生します。この場合、どの属性が変更されたかを特定する方法はありません。たとえば、任意アクセス制御リスト (DACL) が変更された場合、4738 イベントが生成されますが、すべての属性は - になります。

一部の変更は 4738 イベントを呼び出しません。

[!NOTE] 推奨事項については、このイベントのセキュリティ監視の推奨事項を参照してください。

イベント XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4738</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>13824</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-08-20T16:22:02.792454100Z" /> 
 <EventRecordID>175413</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="520" ThreadID="1508" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="Dummy">-</Data> 
 <Data Name="TargetUserName">ksmith</Data> 
 <Data Name="TargetDomainName">CONTOSO</Data> 
 <Data Name="TargetSid">S-1-5-21-3457937927-2839227994-823803824-6609</Data> 
 <Data Name="SubjectUserSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data> 
 <Data Name="SubjectUserName">dadmin</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x30dc2</Data> 
 <Data Name="PrivilegeList">-</Data> 
 <Data Name="SamAccountName">-</Data> 
 <Data Name="DisplayName">-</Data> 
 <Data Name="UserPrincipalName">-</Data> 
 <Data Name="HomeDirectory">-</Data> 
 <Data Name="HomePath">-</Data> 
 <Data Name="ScriptPath">-</Data> 
 <Data Name="ProfilePath">-</Data> 
 <Data Name="UserWorkstations">-</Data> 
 <Data Name="PasswordLastSet">-</Data> 
 <Data Name="AccountExpires">-</Data> 
 <Data Name="PrimaryGroupId">-</Data> 
 <Data Name="AllowedToDelegateTo">-</Data> 
 <Data Name="OldUacValue">0x15</Data> 
 <Data Name="NewUacValue">0x211</Data> 
 <Data Name="UserAccountControl">%%2050 %%2089</Data> 
 <Data Name="UserParameters">-</Data> 
 <Data Name="SidHistory">-</Data> 
 <Data Name="LogonHours">-</Data> 
 </EventData>
 </Event>

必要なサーバーの役割: なし。

最小 OS バージョン: Windows Server 2008, Windows Vista。

イベントバージョン: 0。

フィールドの説明:

サブジェクト:

  • セキュリティ ID [タイプ = SID]: 「ユーザーアカウントの変更」操作を要求したアカウントの SID。イベントビューアーは自動的に SID を解決し、アカウント名を表示しようとします。SID を解決できない場合、イベントにソースデータが表示されます。

[!NOTE] セキュリティ識別子 (SID) は、トラスティ (セキュリティプリンシパル) を識別するために使用される可変長の一意の値です。各アカウントには、Active Directory ドメインコントローラーなどの権限によって発行され、セキュリティデータベースに保存される一意の SID があります。ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセストークンに配置します。システムは、アクセストークン内の SID を使用して、以降のすべての Windows セキュリティとのやり取りでユーザーを識別します。SID がユーザーまたはグループの一意の識別子として使用された場合、それは他のユーザーまたはグループを識別するために再び使用されることはありません。SID についての詳細は、セキュリティ識別子を参照してください。

  • アカウント名 [タイプ = UnicodeString]: 「ユーザーアカウントの変更」操作を要求したアカウントの名前。

  • アカウントドメイン [タイプ = UnicodeString]: サブジェクトのドメインまたはコンピュータ名。形式はさまざまで、以下のようなものが含まれます:

    • ドメインのNETBIOS名の例: CONTOSO

    • 小文字の完全なドメイン名: contoso.local

    • 大文字の完全なドメイン名: CONTOSO.LOCAL

    • LOCAL SERVICEやANONYMOUS LOGONなどのよく知られたセキュリティプリンシパルの場合、このフィールドの値は「NT AUTHORITY」となります。

    • ローカルユーザーアカウントの場合、このフィールドにはこのアカウントが属するコンピュータまたはデバイスの名前が含まれます。例: “Win81”。

  • ログオンID [タイプ = HexInt64]: このイベントを最近のイベントと関連付けるのに役立つ16進数の値。例えば、同じログオンIDを含む「4624: アカウントが正常にログオンされました。」など。

ターゲットアカウント:

  • セキュリティID [タイプ = SID]: 変更されたアカウントのSID。イベントビューアは自動的にSIDを解決してアカウント名を表示しようとします。SIDが解決できない場合、イベントにはソースデータが表示されます。

  • アカウント名 [タイプ = UnicodeString]: 変更されたアカウントの名前。

  • アカウントドメイン [タイプ = UnicodeString]: ターゲットアカウントのドメインまたはコンピュータ名。形式はさまざまで、以下のようなものが含まれます:

    • ドメインのNETBIOS名の例: CONTOSO

    • 小文字の完全なドメイン名: contoso.local

    • 大文字の完全なドメイン名: CONTOSO.LOCAL

    • ローカルユーザーアカウントの場合、このフィールドにはこのアカウントが属するコンピュータまたはデバイスの名前が含まれます。例: “Win81”。

変更された属性:

属性が変更されていない場合、その値は「–」となります。

残念ながら、ローカルアカウントの場合、変更された属性を除くすべてのフィールドには以前の値が入力されます。また、ユーザーアカウント制御フィールドには変更された場合のみ値が表示されます。変更された属性には新しい値が入力されますが、どの属性が実際に変更されたのかを理解するのは難しいです。

  • SAM アカウント名 [タイプ = UnicodeString]: クライアントおよびサーバーを以前のバージョンの Windows (Windows 2000 以前のログオン名) からサポートするために使用されるアカウントのログオン名。ユーザーオブジェクトの sAMAccountName 属性の値が変更された場合、ここに新しい値が表示されます。例えば: ladmin。ローカルアカウントの場合、このフィールドには常に何らかの値が含まれます。アカウントの属性が変更されていない場合、現在の属性の値が含まれます。

  • 表示名 [タイプ = UnicodeString]: 特定のアカウントのアドレス帳に表示される名前です。通常、ユーザーの名、ミドルネームの頭文字、姓の組み合わせです。この属性は Active Directory ユーザーとコンピューターを使用するか、スクリプトを通じて変更できます。ユーザーオブジェクトの displayName 属性の値が変更された場合、ここに新しい値が表示されます。ローカルアカウントの場合、このフィールドには常に何らかの値が含まれます。アカウントの属性が変更されていない場合、現在の属性の値が含まれます。

  • ユーザープリンシパル名 [タイプ = UnicodeString]: インターネット標準 RFC 822 に基づいたアカウントのインターネットスタイルのログイン名。慣例として、これはアカウントのメール名に対応するべきです。ユーザーオブジェクトの userPrincipalName 属性の値が変更された場合、ここに新しい値が表示されます。この属性は Active Directory ユーザーとコンピューターを使用するか、スクリプトを通じて変更できます。ローカルアカウントの場合、このフィールドは適用されず、常に - の値が含まれます。

  • ホームディレクトリ [タイプ = UnicodeString]: ユーザーのホームディレクトリ。homeDrive 属性が設定され、ドライブ文字を指定している場合、homeDirectory は UNC パスである必要があります。パスは \\Server\Share\Directory の形式のネットワーク UNC でなければなりません。ユーザーオブジェクトの homeDirectory 属性の値が変更された場合、ここに新しい値が表示されます。この属性は Active Directory ユーザーとコンピューターを使用するか、スクリプトを通じて変更できます。ローカルアカウントの場合、このフィールドには常に何らかの値が含まれます。アカウントの属性が変更されていない場合、現在の属性の値が含まれます。

  • ホームドライブ [タイプ = UnicodeString]: homeDirectory アカウントの属性で指定されたUNCパスをマップするドライブ文字を指定します。ドライブ文字は「DRIVE_LETTER:」の形式で指定する必要があります。例えば、「H:」です。ユーザーオブジェクトの homeDrive 属性の値が変更された場合、ここに新しい値が表示されます。この属性は、Active Directory Users and Computersを使用するか、スクリプトを通じて変更できます。ローカルアカウントの場合、このフィールドには常に何らかの値が含まれます。アカウントの属性が変更されていない場合、現在の属性の値が含まれます。

  • スクリプトパス [タイプ = UnicodeString]: アカウントのログオンスクリプトのパスを指定します。ユーザーオブジェクトの scriptPath 属性の値が変更された場合、ここに新しい値が表示されます。この属性は、Active Directory Users and Computersを使用するか、スクリプトを通じて変更できます。ローカルアカウントの場合、このフィールドには常に何らかの値が含まれます。アカウントの属性が変更されていない場合、現在の属性の値が含まれます。

  • プロファイルパス [タイプ = UnicodeString]: アカウントのプロファイルへのパスを指定します。この値は、null文字列、ローカルの絶対パス、またはUNCパスである可能性があります。ユーザーオブジェクトの profilePath 属性の値が変更された場合、ここに新しい値が表示されます。この属性は、Active Directory Users and Computersを使用するか、スクリプトを通じて変更できます。ローカルアカウントの場合、このフィールドには常に何らかの値が含まれます。アカウントの属性が変更されていない場合、現在の属性の値が含まれます。

  • ユーザーのワークステーション [タイプ = UnicodeString]: ユーザーがログオンできるコンピュータのNetBIOSまたはDNS名のリストを含みます。各コンピュータ名はカンマで区切られています。コンピュータの名前は、コンピュータオブジェクトの sAMAccountName プロパティです。ユーザーオブジェクトの userWorkstations 属性の値が変更された場合、ここに新しい値が表示されます。この属性は、Active Directory Users and Computersを使用するか、スクリプトを通じて変更できます。ローカルアカウントの場合、このフィールドは適用されず、常に <value not set> と表示されます。

  • パスワード最終設定 [タイプ = UnicodeString]: アカウントのパスワードが最後に変更された日時。ユーザーオブジェクトの pwdLastSet 属性の値が変更された場合、ここに新しい値が表示されます。例えば: 2015年8月12日 11:41:39 AM。この値は、手動でユーザーアカウントのパスワードをリセットした後などに変更されます。ローカルアカウントの場合、このフィールドには常に何らかの値が含まれます。アカウントの属性が変更されていない場合、現在の属性値が含まれます。

  • アカウントの有効期限 [タイプ = UnicodeString]: アカウントの有効期限の日付。ユーザーオブジェクトの accountExpires 属性の値が変更された場合、ここに新しい値が表示されます。例えば、「2015年9月21日 12:00:00 AM」。この属性は、Active Directory ユーザーとコンピュータを使用するか、スクリプトを通じて変更できます。ローカルアカウントの場合、このフィールドには常に何らかの値が含まれます。アカウントの属性が変更されていない場合、現在の属性値が含まれます。

  • プライマリグループID [タイプ = UnicodeString]: ユーザーオブジェクトのプライマリグループの相対識別子 (RID)。

[!NOTE] 相対識別子 (RID) は、オブジェクトの作成時に割り当てられる可変長の番号で、オブジェクトのセキュリティ識別子 (SID) の一部となり、ドメイン内のアカウントやグループを一意に識別します。

このフィールドには、ユーザーオブジェクトのプライマリグループが変更された場合に値が含まれます。Active Directory ユーザーとコンピュータ管理コンソールのユーザーオブジェクトプロパティの メンバー タブを使用して、ユーザーのプライマリグループを変更できます。新しいプライマリグループのRIDがフィールド値として表示されます。例えば、RID 513 (ドメインユーザー) はユーザーのデフォルトのプライマリグループです。

ユーザーアカウントの典型的な プライマリグループ の値:

  • 513 (ドメインユーザー。ローカルアカウントの場合、このRIDはユーザーを意味します) – ドメインおよびローカルユーザー用。

    詳細については、よく知られたセキュリティプリンシパル を参照してください。ユーザーオブジェクトの primaryGroupID 属性の値が変更された場合、ここに新しい値が表示されます。

  • AllowedToDelegateTo [タイプ = UnicodeString]: このアカウントが委任された資格情報を提示できるSPNのリスト。ユーザーアカウントに少なくとも1つのSPNが登録されている場合、Active Directoryユーザーとコンピュータ管理コンソールの委任タブで変更できます。ユーザーアカウントの委任タブでSPNリストが変更された場合、このイベントのAllowedToDelegateToフィールドに新しいSPNリストが表示されます(変更ではなく新しいリストが表示されることに注意してください)。以下はAllowedToDelegateToの例です:

    • dcom/WIN2012

    • dcom/WIN2012.contoso.local

      ユーザーオブジェクトのmsDS-AllowedToDelegateTo属性の値が変更された場合、ここに新しい値が表示されます。

      値は<value not set>になることがあります。例えば、委任が無効化された場合です。

      ローカルアカウントの場合、このフィールドは適用されず、常に-の値になります。

[!NOTE] サービスプリンシパル名 (SPN) は、クライアントがサービスのインスタンスを一意に識別するための名前です。フォレスト全体のコンピュータに複数のサービスインスタンスをインストールする場合、各インスタンスには独自のSPNが必要です。特定のサービスインスタンスには、クライアントが認証に使用する可能性のある複数の名前がある場合、複数のSPNを持つことができます。例えば、SPNには常にサービスインスタンスが実行されているホストコンピュータの名前が含まれるため、サービスインスタンスはホストの各名前やエイリアスに対してSPNを登録することがあります。

  • Old UAC Value [タイプ = UnicodeString]: ユーザーまたはコンピュータアカウントのパスワード、ロックアウト、無効/有効、スクリプト、およびその他の動作を制御するフラグを指定します。このパラメータには、アカウントフラグのSAM実装の以前の値が含まれています(定義はADのuserAccountControlとは異なります)。

  • New UAC Value [タイプ = UnicodeString]: ユーザーまたはコンピュータアカウントのパスワード、ロックアウト、無効/有効、スクリプト、およびその他の動作を制御するフラグを指定します。このパラメータには、アカウントフラグのSAM実装の値が含まれています(定義はADのuserAccountControlとは異なります)。値が変更された場合、ここに新しい値が表示されます。ここで確認できるアカウントフラグのリストについては、[MS-SAMR]: USER_ACCOUNT Codesを参照してください。

  • ユーザーアカウント制御 [タイプ = UnicodeString]: userAccountControl 属性の変更リストを表示します。変更ごとに1行のテキストが表示されます。可能な値については、こちらを参照してください:ユーザーまたはコンピューターのアカウント UAC フラグ。“ユーザーアカウント制御フィールドのテキスト” 列には、4738 イベントの ユーザーアカウント制御 フィールドに表示されるテキストが表示されます。

  • ユーザーパラメータ [タイプ = UnicodeString]: ユーザーアカウントプロパティのダイヤルインタブで Active Directory ユーザーとコンピュータ管理コンソールを使用して設定を変更した場合、このフィールドには <value changed, but not displayed> と表示されます。ローカルアカウントの場合、このフィールドは適用されず、常に <value not set> の値を持ちます。

  • SID 履歴 [タイプ = UnicodeString]: オブジェクトが別のドメインから移動された場合に使用された以前の SID を含みます。オブジェクトがあるドメインから別のドメインに移動されるたびに、新しい SID が作成され、objectSID になります。以前の SID は sIDHistory プロパティに追加されます。ユーザーオブジェクトの sIDHistory 属性の値が変更された場合、ここに新しい値が表示されます。

  • ログオン時間 [タイプ = UnicodeString]: アカウントがドメインにログオンできる時間を示します。ユーザーオブジェクトの logonHours 属性の値が変更された場合、ここに新しい値が表示されます。この属性は、Active Directory ユーザーとコンピュータを使用して変更することも、スクリプトを使用して変更することもできます。以下はこのフィールドの例です:

    日曜日 12:00 AM - 7:00 PM

    日曜日 9:00 PM - 月曜日 1:00 PM

    月曜日 2:00 PM - 火曜日 6:00 PM

    火曜日 8:00 PM - 水曜日 10:00 AM

    ローカルアカウントの場合、このフィールドは適用されず、通常は “All” の値を持ちます。

追加情報:

  • 特権 [タイプ = UnicodeString]: 操作中に使用されたユーザー特権のリストを示します。例えば、SeBackupPrivilege。このパラメータはイベントでキャプチャされない場合があり、その場合は “-” と表示されます。ユーザー特権の完全なリストは「表8. ユーザー特権」を参照してください。

セキュリティ監視の推奨事項

4738(S): ユーザーアカウントが変更されました。

[!IMPORTANT] このイベントについては、付録A: 多くの監査イベントに対するセキュリティ監視の推奨事項も参照してください。

  • 一部の組織では、すべての4738イベントを監視します。

  • 重要なユーザーコンピュータアカウント(例: ドメイン管理者アカウントやサービスアカウント)について、各変更を監視する必要がある場合は、このイベントを**「ターゲットアカウント\アカウント名」**で監視し、重要なアカウントに対応させます。

  • Delegationタブのサービスリストの変更を監視する必要があるユーザーアカウントがある場合、AllowedToDelegateToが-でないときにこのイベントを監視します。この値は、サービスリストが変更されたことを意味します。

  • 次のフィールドを追跡するかどうかを検討してください:

    追跡するフィールド追跡する理由
    表示名ユーザープリンシパル名ホームディレクトリホームドライブスクリプトパスプロファイルパスユーザー作業ステーション最後に設定されたパスワードアカウントの有効期限プライマリグループIDログオン時間これらのフィールドの変更を、重要なドメインおよびローカルアカウントについて監視することをお勧めします。
    プライマリグループIDが513でない通常、プライマリグループの値はドメインおよびローカルユーザーに対して513です。他の値は監視する必要があります。
    サービスリスト(Delegationタブ)が空であってはならないユーザーアカウントの場合: AllowedToDelegateTo<value not set>とマークされているAllowedToDelegateToが以前にサービスリスト(Delegationタブ)を持っていたユーザーアカウントで<value not set>とマークされている場合、それはリストがクリアされたことを意味します。
    SID履歴が-でないこのフィールドは、アカウントが他のドメインから移行された場合を除き、常に-に設定されます。

  • 次のユーザーアカウント制御フラグを追跡するかどうかを検討してください:

追跡するユーザーアカウント制御フラグフラグに関する情報
「通常のアカウント」 – 無効ユーザーアカウントに対して無効にすべきではありません。
「パスワード不要」 – 有効ユーザーアカウントに対して通常有効にすべきではありません。これはアカウントのセキュリティを弱めるためです。
「暗号化テキストパスワード許可」 – 有効ユーザーアカウントに対して通常有効にすべきではありません。これはアカウントのセキュリティを弱めるためです。
「サーバートラストアカウント」 – 有効ユーザーアカウントに対して有効にすべきではありません。これはドメインコントローラー(コンピュータ)アカウントにのみ適用されます。
「パスワードの有効期限なし」 – 有効重要なアカウント、または組織がこのフラグを許可しない場合はすべてのアカウントについて監視する必要があります。
「スマートカード必須」 – 有効重要なアカウントについて監視する必要があります。
「パスワード不要」 – 無効設定が「有効」であるべきすべてのアカウントについて監視する必要があります。
「暗号化テキストパスワード許可」 – 無効設定が「有効」であるべきすべてのアカウントについて監視する必要があります。
「パスワードの有効期限なし」 – 無効設定が「有効」であるべきすべてのアカウントについて監視する必要があります。
「スマートカード必須」 – 無効設定が「有効」であるべきすべてのアカウントについて監視する必要があります。
「委任の信頼」 – 有効ユーザーアカウントに対してKerberos制約または非制約の委任が有効になったことを意味します。これが承認されたアクション(管理者によって行われたもの)か、誤りか、悪意のあるアクションかを発見するために監視することをお勧めします。
「委任の信頼」 – 無効ユーザーアカウントに対してKerberos制約または非制約の委任が無効になったことを意味します。これが承認されたアクション(管理者によって行われたもの)か、誤りか、悪意のあるアクションかを発見するために監視することをお勧めします。また、委任が重要で無効にすべきでないユーザーアカウントのリストがある場合、それらのアカウントについてこれを監視します。
「委任の認証を信頼」 – 有効ユーザーアカウントに対してプロトコル遷移の委任が有効になったことを意味します。これが承認されたアクション(管理者によって行われたもの)か、誤りか、悪意のあるアクションかを発見するために監視することをお勧めします。
「委任の認証を信頼」 – 無効ユーザーアカウントに対してプロトコル遷移の委任が無効になったことを意味します。これが承認されたアクション(管理者によって行われたもの)か、誤りか、悪意のあるアクションかを発見するために監視することをお勧めします。また、委任が重要で無効にすべきでないユーザーアカウントのリストがある場合、それらのアカウントについてこれを監視します。
「委任されない」 – 有効ユーザーアカウントに対してアカウントは機密であり、委任できませんがチェックされたことを意味します。これが承認されたアクション(管理者によって行われたもの)か、誤りか、悪意のあるアクションかを発見するために監視することをお勧めします。
「委任されない」 – 無効設定が「有効」であるべきすべてのアカウントについて監視する必要があります。ユーザーアカウントに対してアカウントは機密であり、委任できませんがチェック解除されたことを意味します。これが承認されたアクション(管理者によって行われたもの)か、誤りか、悪意のあるアクションかを発見するために監視することをお勧めします。
「DESキーのみ使用」 – 有効ユーザーアカウントに対して通常有効にすべきではありません。これはアカウントのKerberos認証のセキュリティを弱めるためです。
「事前認証不要」 – 有効ユーザーアカウントに対して有効にすべきではありません。これはアカウントのKerberos認証のセキュリティを弱めるためです。
「DESキーのみ使用」 – 無効設定が「有効」であるべきすべてのアカウントについて監視する必要があります。
「事前認証不要」 – 無効設定が「有効」であるべきすべてのアカウントについて監視する必要があります。

It seems like you haven’t pasted the Markdown content yet. Please provide the content you want translated into Japanese.