Windows Server 2003 の Active Directory オブジェクトを監査する
この詳細な記事では、Windows Server 2003 監査を使用して Active Directory のユーザー アクティビティとシステム全体のイベントを追跡する方法について説明します。
適用対象: Windows Server 2003
元の KB 番号: 814595
概要
Windows Server 2003 監査を使用すると、ユーザー アクティビティと、コンピューター上のイベントという名前の Windows Server 2003 アクティビティの両方を追跡できます。 監査を使用する場合は、セキュリティ ログに書き込むイベントを指定できます。 たとえば、セキュリティ ログは、ファイルやその他のオブジェクトの作成、開く、または削除に関連する有効なログオン試行と無効なログオン試行とイベントの両方のレコードを保持できます。 セキュリティ ログの監査エントリには、次の情報が含まれています。
- 完了したアクション。
- アクションを実行したユーザー。
- イベントの成功または失敗、およびイベントが発生した時刻。
監査ポリシー設定は、Windows Server 2003 が各コンピューターのセキュリティ ログに記録するイベントのカテゴリを定義します。 セキュリティ ログを使用すると、指定したイベントを追跡できます。
Active Directory イベントを監査すると、Windows Server 2003 はドメイン コントローラーのセキュリティ ログにイベントを書き込みます。 たとえば、ユーザーはドメイン ユーザー アカウントを使用してドメインにログオンしようとします。 ログオン試行が失敗した場合、ログオン試行が行われたコンピューターではなく、ドメイン コントローラーにイベントが記録されます。 この動作は、ログオン試行を認証しようとしたが、認証できなかったドメイン コントローラーであるために発生します。
イベント ビューアーを使用して、Windows Server 2003 がセキュリティ ログに記録するイベントを表示します。 ログ ファイルをアーカイブして、時間の経過に伴う傾向を追跡することもできます。 たとえば、プリンターまたはファイルの使用を決定したり、未承認のリソースの使用を確認したりします。
Active Directory オブジェクトの監査を有効にするには:
- ドメイン コントローラーの監査ポリシー設定を構成します。 監査ポリシー設定を構成する場合、オブジェクトを監査することはできますが、監査するオブジェクトを指定することはできません。
- 特定の Active Directory オブジェクトの監査を構成します。 ファイル、フォルダー、プリンター、および Active Directory オブジェクトを監査するイベントを指定した後、Windows Server 2003 はこれらのイベントを追跡してログに記録します。
ドメイン コントローラーの監査ポリシー設定を構成する
既定では、監査はオフになっています。 ドメイン コントローラーの場合、監査ポリシー設定は、ドメイン内のすべてのドメイン コントローラーに対して構成されます。 ドメイン コントローラーで発生するイベントを監査するには、ドメインの非ローカル グループ ポリシー オブジェクト (GPO) 内のすべてのドメイン コントローラーに適用される監査ポリシー設定を構成します。 このポリシー設定には、ドメイン コントローラー組織単位からアクセスできます。 Active Directory オブジェクトへのユーザー アクセスを監査するには、監査ポリシー設定で Audit Directory Service Access イベント カテゴリを構成します。
注:
- 監査ポリシー設定を構成するか、監査ログを確認するコンピューターに監査ログとセキュリティ ログの管理ユーザー権限を付与する必要があります。 既定では、Windows Server 2003 は管理者グループにこれらの権限を付与します。
- 監査するファイルとフォルダーは、Microsoft Windows NT ファイル システム (NTFS) ボリューム上にある必要があります。
ドメイン コントローラーの監査ポリシー設定を構成するには:
[プログラム管理ツールの>開始>] を選択し、[Active Directory ユーザーとコンピューター] を選択します。
[ 表示 ] メニューの [ 高度な機能] を選択します。
[ドメイン コントローラー] を右クリックし、[プロパティ] を選択します。
[グループ ポリシー] タブを選択し、[既定のドメイン コントローラー ポリシー] を選択し、[編集] を選択します。
[ コンピューターの構成] を選択し、[ Windows の設定] をダブルクリックし、[ セキュリティ設定] をダブルクリックし、[ ローカル ポリシー] をダブルクリックして、[ 監査ポリシー] をダブルクリックします。
右側のウィンドウで、[ 監査ディレクトリ サービス アクセス] を右クリックし、[プロパティ] を選択 します。
[これらのポリシー設定の定義] を選択し、次のチェック ボックスの 1 つまたは両方を選択します。
- 成功: イベント カテゴリの成功した試行を監査するには、このチェック ボックスを選択します。
- 失敗: イベント カテゴリの失敗した試行を監査するには、このチェック ボックスを選択します。
監査するその他のイベント カテゴリを右クリックし、[プロパティ] を選択 します。
[OK] を選択します。
コンピューターの監査ポリシー設定に加えた変更は、ポリシー設定がコンピューターに反映または適用されている場合にのみ有効になります。 ポリシーの伝達を開始するには、次のいずれかの手順を実行します。
- コマンド プロンプトで「」と入力
gpupdate /Target:computerし、Enter キーを押します。 - 構成できる定期的な間隔で発生する自動ポリシー伝達を待機します。 既定では、ポリシーの伝達は 5 分ごとに行われます。
- コマンド プロンプトで「」と入力
セキュリティ ログを開き、ログに記録されたイベントを表示します。
注:
ドメインまたはエンタープライズ管理者の場合は、ワークステーション、メンバー サーバー、ドメイン コントローラーのセキュリティ監査をリモートで有効にすることができます。
特定の Active Directory オブジェクトの監査を構成する
監査ポリシー設定を構成した後、アクセスの種類と監査するアクセス権を持つユーザーの両方を指定することで、ユーザー、コンピューター、組織単位、またはグループなどの特定のオブジェクトの監査を構成できます。 特定の Active Directory オブジェクトの監査を構成するには:
[プログラム管理ツールの>開始>] を選択し、[Active Directory ユーザーとコンピューター] を選択します。
[表示] メニューの [高度な機能] を選択していることを確認します。
監査する Active Directory オブジェクトを右クリックし、[プロパティ] を選択 します。
[ セキュリティ ] タブを選択し、[ 詳細設定] を選択します。
[監査] タブ を 選択し、[ 追加] を選択します。
次のどちらかの手順を実行します。
- [選択するオブジェクト名を入力してください] ボックスに、監査するアクセス権を持つユーザーまたはグループの 名前を入力 し、[OK] を選択します。
- 名前の一覧で、監査するアクセス権を持つユーザーまたはグループをダブルクリックします。
監査するアクションの [成功] または [失敗したチェック] ボックスを選択し、[OK] を選択します。
[ OK] を選択し、[ OK] を選択します。
トラブルシューティング
セキュリティ ログのサイズは制限されています。 この制限のため、監査するファイルとフォルダーを慎重に選択することをお勧めします。 また、セキュリティ ログに割り当てるディスク領域の量も考慮してください。 最大サイズは、イベント ビューアーで定義されます。