ユーザー アカウントの管理の監査
[ユーザー アカウント管理の監査] は、特定のユーザー アカウント管理タスクが実行されたときにオペレーティング システムが監査イベントを生成するかどうかを決定します。
イベント ボリューム: 低。
このポリシー設定を使用すると、ユーザー アカウントの変更を監査できます。 イベントには、次のものが含まれます。
ユーザー アカウントが作成、変更、削除、名前変更、無効、有効、ロックアウト、またはロック解除されます。
ユーザー アカウントのパスワードが設定または変更されます。
セキュリティ識別子 (SID) がユーザー アカウントの SID 履歴に追加されるか、追加に失敗します。
Directory Services 復元モードのパスワードが構成されています。
管理ユーザー アカウントに対するアクセス許可が変更されます。
ユーザーのローカル グループ メンバーシップが列挙されました。
資格情報マネージャーの資格情報がバックアップまたは復元されます。
このサブカテゴリの一部のイベント (4722、4725、4724、4781 など) も、コンピューター アカウントに対して生成されます。
| コンピューターの種類 | 一般的な成功 | 一般的なエラー | より強力な成功 | より強力なエラー | コメント |
|---|---|---|---|---|---|
| ドメイン コントローラー | はい | はい | はい | はい | このサブカテゴリには、特にドメイン管理者、サービス アカウント、データベース管理者など、重要なドメイン アカウントの監視に役立つ多くのイベントが含まれています。 ドメイン アカウントの無効なパスワード変更とリセットの試行、DSRM アカウントのパスワード変更エラー、失敗した SID 履歴の追加試行を確認するには、主に失敗監査をお勧めします。 |
| メンバー サーバー | はい | はい | はい | はい | ローカル ユーザー アカウント 、特に組み込みのローカル管理者やその他の重要なアカウントに関連するすべての変更を監視することをお勧めします。 主に無効なパスワード変更を確認し、ローカル アカウントのリセット試行を確認するには、失敗監査をお勧めします。 |
| ワークステーション | はい | はい | はい | はい | ローカル ユーザー アカウント 、特に組み込みのローカル管理者やその他の重要なアカウントに関連するすべての変更を監視することをお勧めします。 主に無効なパスワード変更を確認し、ローカル アカウントのリセット試行を確認するには、失敗監査をお勧めします。 |
イベント リスト:
4720(S): ユーザー アカウントが作成されました。
4722(S): ユーザー アカウントが有効になりました。
4723(S, F): アカウントのパスワードを変更しようとしました。
4724(S, F): アカウントのパスワードをリセットしようとしました。
4725(S): ユーザー アカウントが無効になりました。
4726(S): ユーザー アカウントが削除されました。
4738(S): ユーザー アカウントが変更されました。
4740(S): ユーザー アカウントがロックアウトされました。
4765(S): SID 履歴がアカウントに追加されました。
4766(F): アカウントに SID 履歴を追加できませんでした。
4767(S): ユーザー アカウントのロックが解除されました。
4780(S): 管理者グループのメンバーであるアカウントに ACL が設定されました。
4781(S): アカウントの名前が変更されました。
4794(S, F): ディレクトリ サービス復元モードの管理者パスワードを設定しようとしました。
4798(S): ユーザーのローカル グループ メンバーシップが列挙されました。
5376(S): Credential Manager 資格情報がバックアップされました。
5377(S): 資格情報マネージャーの資格情報がバックアップから復元されました。
フィードバック
フィードバックの送信と表示