概要
別記事でコンピューター オブジェクトの所有者情報を確認する手順についてまとめましたが、本記事はその続きとなります。
なおドメインに再参加させる際の対処の目的で ms-DS-CreatorSID の確認をされたいということであれば下記 Microsoft のBLOGを参照いただくほうが良いかと思います。
- コンピューターアカウント再利用時のドメイン参加におけるセキュリティ強化について[KB5020276] | Microsoft Japan Windows Technology Support Blog
端末をドメインに参加させたユーザーと所有者
コンピューター オブジェクトの所有者情報を確認したいというニーズは誰が端末をドメインに参加させたかを確認したいということから発生しているのではないかと思います。
その場合には所有者情報の確認だけでは要望を満たせないです。
というのは所有者がドメインに端末を参加させたユーザーとは必ずしも一致しないからです。
確認した結果は以下です。
パターン1
参加させるユーザーが所属するグループ
Domain Users 〇
Administrators ×
Domain Admins ×
所有者 Domain Admins
パターン2
参加させるユーザーが所属するグループ
Domain Users 〇
Administrators 〇
Domain Admins ×
所有者 参加させたユーザー
パターン3
参加させるユーザーが所属するグループ
Domain Users 〇
Administrators ×
Domain Admins 〇
所有者 Domain Admins
パターン4
参加させるユーザーが所属するグループ
Domain Users 〇
Administrators 〇
Domain Admins 〇
所有者 Domain Admins
なぜこのような動作となるのかはわかりませんが、パターン2以外の場合は所有者を確認しても誰が端末をドメインに参加させたか特定をすることはできない為注意が必要です。
なおパターン1の場合は mS-DS-CreatorSID 属性に参加させたユーザーの SID が記録されるのでそちらからユーザーの特定は可能です。
詳しくは
- MS-DS-Creator-SID 属性 - Win32 apps | Microsoft Learn
-
ユーザーがドメインに参加できる既定のワークステーション番号 - Windows Server | Microsoft Learn
を確認してください。
mS-DS-CreatorSID の確認手順
mS-DS-CreatorSID の確認手順は以下です。
GUIで確認する方法
GUI操作であれば下記になります。
-
ドメイン コントローラーにて [Active Directory ユーザーとコンピューター]を起動します。
-
[表示]をクリックし[拡張機能]にチェックを入れます。
-
所有者を確認したいコンピュータオブジェクトのプロパティを開きます。
-
[属性エディター]タブを開きます。
-
[mS-DS-CreatorSID]の値を確認します。
PowerShell のコマンドレットで確認する方法
mS-DS-CreatorSID 属性の情報は Windows PowerShell のコマンドレットでも取得可能です。
Get-ADComputer Computername -Properties ms-DS-CreatorSID | Select-Object ms-DS-CreatorSID
ドメインに所属する端末の mS-DS-CreatorSID 属性の情報を一括でとるなら下記です。
Get-ADComputer -Filter * -Properties ms-DS-CreatorSID | Select-Object Name, ms-DS-CreatorSID
補足
パターン2の場合においても所有者自体は変更が可能なため、所有者が端末をドメインに参加させたということ断言することはできないです。
またmS-DS-CreatorSID はパターン1の場合にのみしか記録されません。
なので前回の記事、並びに本記事だけでは完璧に端末をドメインに参加させたユーザーを特定することはできません。
関連情報
下記を参照しポリシーを構成いただければ、ドメインに端末を参加せるユーザーに制限をかけることが可能です。
また今回はコンピューター オブジェクトから確認をしましたが、過去にさかのぼって確認するのでなければ監査設定を有効にしてイベント ログを確認するほうが確実かと思います。