4780 管理者グループメンバーへの ACL 設定（AdminSDHolder）

特権グループのメンバーに対し、AdminSDHolder の ACL が適用（リセット）されたときに記録される。AD の保護メカニズム SDProp の動作を示し、永続化攻撃の検知にも関わる。

概要

サブカテゴリは Audit User Account Management。PDC FSMO 役割を持つドメインコントローラが 1 時間ごとに、管理/機密グループのメンバー（AdminCount=1 のアカウント）の ACL を AdminSDHolder オブジェクトの ACL と比較し、差異があればメンバー側を AdminSDHolder の ACL に合わせてリセットする。このとき生成される（一部 OS バージョンでは生成されないことがある）。

発生契機・方法

SDProp（Security Descriptor Propagator）の定期実行（既定 60 分間隔）で、特権アカウントの ACL がリセットされたとき。

セキュリティ上の確認事項

AdminSDHolder 悪用の検知: 攻撃者が AdminSDHolder オブジェクトの ACL に自分のアカウントの許可を追加すると、SDProp により全特権アカウントへその許可が伝播し、強力かつ目立たない永続化になる。AdminSDHolder の ACL 変更（5136 等の DS 変更）と、本イベントによる伝播を併せて監視する。
想定外のアカウントが特権アカウントへの権限を持つようになっていないか、ACL の内容を確認する。

ログレビュー時の注意観点

SDProp は正常運用でも定期的に動く。重要なのは「AdminSDHolder の ACL 自体が変更されたか」で、そこを 5136（ディレクトリサービスオブジェクトの変更）で監視するのが本筋。4780 はその伝播結果として読む。
OS バージョンにより生成されないことがあるため、これ単独に依存せず、ディレクトリ監査と組み合わせる。

主なフィールド

フィールド	意味
`Target Account`	ACL がリセットされた特権アカウント
`Subject\Account Name`	処理を行った主体（多くはシステム）

用語メモ

AdminSDHolder / SDProp — 特権アカウントの ACL を一定の基準に保つ AD の保護機構。AdminSDHolder の ACL 改変は、全特権アカウントに波及する永続化に悪用される。

参考

Microsoft Learn: 4780(S) The ACL was set on accounts which are members of administrators groups.