4766 SID History 追加の失敗

アカウントへの SID History 追加が失敗したときに記録される。成功版 4765 と対で、SID History 操作の試行を捉える。

概要

サブカテゴリは Audit User Account Management。sIDHistory への SID 追加が失敗すると生成される。重複や競合、権限不足などで失敗した場合に出る。

発生契機・方法

移行ツールや手動操作による SID History 追加が、何らかの理由で失敗したとき。

セキュリティ上の確認事項

成功 4765 ほどの直接的影響はないが、SID History を注入しようとして失敗した痕跡でありうる。攻撃者の試行錯誤を示す場合があるため、成功版とセットで監視する。
移行予定が無いのに 4766 が出る場合、不正な SID History 操作の試みを疑い、発生源を調べる。

ログレビュー時の注意観点

通常はまれ。失敗だからと無視せず、SID History を触ろうとした事実として記録・確認する。
4765 と併せ、SID History 関連の操作全体を追う。

主なフィールド

フィールド	意味
`Target Account\Account Name`	対象アカウント
`Subject\Account Name`	操作を試みた主体

参考

Microsoft Learn: 4766(S) An attempt to add SID History to an account failed.