[HOWTO] Windows Server 2003 で Active Directory オブジェクトを監査する方法

文書翻訳 文書翻訳
文書番号: 814595 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

この資料では、Windows Server 2003 の監査機能を使用して、Active Directory 内でのユーザーの操作およびシステム全体のイベントを追跡する方法について順を追って説明します。

Windows Server 2003 の監査機能を使用すると、コンピュータ上で、イベントと呼ばれる、ユーザーの操作と Windows Server 2003 の動作の両方を追跡できます。監査機能を使用すると、セキュリティ ログに書き込まれるイベントを指定できます。たとえば、セキュリティ ログでは、有効なログオンおよび無効なログオンの試行や、ファイルまたはその他のオブジェクトを作成したり、開いたり、削除したりすることに関連するイベントを保持できます。セキュリティ ログの監査エントリには、以下の情報が含まれます。
  • 実行された操作
  • 操作を実行したユーザー
  • イベントの成功または失敗とイベントの発生時刻
監査ポリシー設定では、Windows Server 2003 により各コンピュータのセキュリティ ログに記録されるイベントのカテゴリを定義します。セキュリティ ログを使用して、指定したイベントを追跡できます。

Active Directory のイベントを監査する場合、Windows Server 2003 ではドメイン コントローラのセキュリティ ログにイベントが書き込まれます。たとえば、ユーザーがドメイン ユーザー アカウントを使用してドメインへログオンしようとし、その試行が失敗した場合、そのイベントはログオンを試行したコンピュータではなくドメイン コントローラに記録されます。この現象は、ログオン試行の認証が行えなかったのはドメイン コントローラであるために発生します。

Windows Server 2003 によってセキュリティ ログに記録されるイベントを表示するには、イベント ビューアを使用します。また、ログ ファイルを保管して経時的な傾向を追跡することもできます。たとえば、プリンタまたはファイルの使用状況を確認したり、許可されていないリソースの使用を検証したりする場合に利用できます。

Active Directory オブジェクトの監査機能を有効にするには、以下の手順を実行します。
  • ドメイン コントローラの監査ポリシー設定を構成します。監査ポリシー設定を構成すると、オブジェクトの監査はできますが、監査するオブジェクトの指定はできません。
  • 特定の Active Directory オブジェクトに対して監査を構成します。ファイル、プリンタ、および Active Directory オブジェクトに対して監査するイベントを指定すると、それらのイベントが追跡され、ログに記録されます。

ドメイン コントローラの監査ポリシー設定を構成する

デフォルトでは、監査機能は無効になっています。ドメイン コントローラについては、ドメイン内のすべてのドメイン コントローラに 1 つの監査ポリシー設定が構成されています。ドメイン コントローラで発生するイベントを監査するには、ドメインの非ローカル グループ ポリシー オブジェクト (GPO) でドメイン コントローラすべてに監査ポリシー設定が適用されるように構成します。このポリシー設定には組織単位 Domain Controllers を通してアクセスできます。Active Directory オブジェクトへのユーザーのアクセスを監査するには、監査ポリシー設定でディレクトリ サービスのアクセスを監査するイベントのカテゴリを構成します。

  • 監査ポリシーの設定、または監査ログの表示を行うコンピュータで、"監査とセキュリティ ログの管理" ユーザー権利を付与する必要があります。Windows Server 2003 では、デフォルトで Administrators グループにこの権利が付与されています。
  • 監査するファイルまたはフォルダは、Microsoft Windows NT ファイル システム (NTFS) のボリューム上に存在する必要があります。
ドメイン コントローラの監査ポリシー設定を構成するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に [管理ツール] をポイントし、[Active Directory ユーザーとコンピュータ] をクリックします。
  2. [表示] メニューの [拡張機能] をクリックします。
  3. [Domain Controllers] を右クリックし、[プロパティ] をクリックします。
  4. [グループ ポリシー] タブをクリックし、[Default Domain Controllers Policy] をクリックして [編集] をクリックします。
  5. [コンピュータの構成] をクリックし、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー]、[監査ポリシー] を順にダブルクリックします。
  6. 右ウィンドウで、[ディレクトリ サービスのアクセスの監査] を右クリックし、[プロパティ] をクリックします。
  7. [これらのポリシーの設定を定義する] チェック ボックスをオンにし、以下のチェック ボックスのいずれかまたは両方をオンにします。
    • [成功] : イベント カテゴリの成功を監査する場合、このチェック ボックスをオンにします。
    • [失敗] : イベント カテゴリの失敗を監査する場合、このチェック ボックスをオンにします。
  8. その他の監査するイベント カテゴリを右クリックし、[プロパティ] をクリックします。
  9. [OK] をクリックします。
  10. コンピュータの監査ポリシー設定に対して行った変更は、ポリシー設定がコンピュータに伝達 (適用) された場合にのみ有効になるため、以下の手順のいずれかを実行してポリシーの伝達を開始します。
    • コマンド プロンプトで gpupdate /Target:computer と入力し、Enter キーを押します。
    • ポリシーの伝達が自動的に実行されるのを待ちます。ポリシーの伝達は一定の間隔で実行され、設定は変更できます。ポリシーの伝達は、デフォルトでは 5 分ごとに実行されます。
  11. セキュリティ ログを開き、ログに記録されたイベントを表示します。

    : ドメイン管理者またはエンタープライズ管理者の場合は、ワークステーション、メンバ サーバー、およびドメイン コントローラのセキュリティの監査機能をリモートで有効にすることができます。

特定の Active Directory オブジェクトの監査を構成する

監査ポリシーを構成すると、アクセスの種類およびアクセスの監査対象のユーザーを指定することによって、ユーザー、コンピュータ、組織単位、またはグループなどの特定のオブジェクトに対する監査を構成できます。特定の Active Directory オブジェクトの監査を構成するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に [管理ツール] をポイントし、[Active Directory ユーザーとコンピュータ] をクリックします。
  2. [編集] メニューの [拡張機能] がオンになっている (横にチェック マークが付いている) ことを確認します。
  3. 監査する Active Directory オブジェクトを右クリックし、[プロパティ] をクリックします。
  4. [セキュリティ] タブをクリックし、[詳細設定] をクリックします。
  5. [監査] タブをクリックし、[追加] をクリックします。
  6. 以下のいずれかの手順を実行します。
    • [選択するオブジェクト名を入力してください] ボックスに、アクセスを監査するユーザーまたはグループの名前を入力し、[OK] をクリックします。
    • 名前の一覧を参照し、アクセスを監査するユーザーまたはグループの名前をダブルクリックします。
  7. 監査する操作の [成功] または [失敗] のいずれかのチェック ボックスをオンにし、[OK] をクリックします。
  8. [OK] を 2 回クリックします。

トラブルシューティング

セキュリティ ログのサイズには制限があります。そのため、監査するファイルおよびフォルダを慎重に選択することをお勧めします。また、セキュリティ ログに使用するディスク容量を検討します。最大サイズはイベント ビューアで定義します。

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 814595 (最終更新日 2003-06-06) を基に作成したものです。

プロパティ

文書番号: 814595 - 最終更新日: 2004年3月17日 - リビジョン: 5.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
キーワード:?
kbhowtomaster kbactivedirectory KB814595
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com