Active Directory：adminCount属性と管理者アカウントのチェック

• URL: https://zenn.dev/8chikuwa3/articles/9920944b371db8
• 日付: 2026-06-26
• Tier: Tier 3
• 要旨: Active DirectoryのAdminSDHolder残留問題について、PingCastleが検出する「A-AdminSDHolder」ルールへの対応手順を解説している。特権グループから外したユーザーに adminCount=1 フラグと継承切れACLが残存し続ける理由を説明し、手動での修正手順と、複数アカウントを対象にした PowerShell 一括クレンジングスクリプトを提示している。スクリプトは現役管理者へのフェイルセーフ検知、クリーンACLのクローン、adminCount属性のクリアを一連の処理としてまとめている。

詳細

• AdminSDHolder の仕組み: 特権グループに所属すると adminCount=1 が設定され、ACL継承が強制的に切断される。グループから外しても自動では元に戻らない
• 手動対応: 属性エディタで adminCount を未設定にし、セキュリティタブの詳細設定から「既定値に戻す」または「継承の有効化」を実施
• PowerShell スクリプト（AdminSDHolder残骸クレンジング統合ツール）の主な処理:
  • テンプレートユーザー（特権を一度も持ったことのない標準ユーザー）からクリーンなACLを取得
  • 処理対象ユーザーが Domain Admins 等の保護グループに現在所属していれば強制スキップ（フェイルセーフ）
  • adminCount=1 の場合のみ Set-Acl でACLを上書きし、Set-ADUser -Clear adminCount で属性を削除
• 対象アカウントが多い場合に一括処理できる設計で、手動操作ミスのリスクを低減できる