グループ ポリシーを使用して、Windows Server 2003 ドメインまたは Windows 2000 ドメインにある Windows Vista クライアント コンピュータのセキュリティの監査の詳細設定を構成する方法

文書翻訳 文書翻訳
文書番号: 921469 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

この資料では、グループ ポリシーを使用して、Windows Server 2003 ドメインまたは Windows 2000 ドメインにある Microsoft Windows Vista クライアント コンピュータのセキュリティの監査の設定を構成する方法について説明します。Windows Vista では、監査ポリシーのサブカテゴリを使用して、より詳細なレベルで監査ポリシーを管理できます。この資料では、Windows Vista クライアント コンピュータにセキュリティの監査の詳細設定を適用するカスタム監査ポリシーを展開するために管理者が使用できる手順について説明します。

はじめに

この資料では、グループ ポリシーを使用して、Windows Server 2003 ドメインまたは Windows 2000 ドメインにある Windows Vista クライアント コンピュータのセキュリティの監査の詳細設定を構成する方法について説明します。Windows Vista では、監査ポリシーのサブカテゴリを使用して、以前のバージョンの Windows オペレーティング システムよりも詳細に監査ポリシーを管理できます。Windows Vista で管理できる個々の監査ポリシーのサブカテゴリは、グループ ポリシー ツールのインターフェイスには表示されません。管理者は、この資料に記載されている手順を使用して、Windows Server 2003 ドメインまたは Windows 2000 ドメインにある Windows Vista クライアント コンピュータにセキュリティの監査の詳細設定を適用するカスタム監査ポリシーを展開できます。

詳細

注意事項

この資料で説明する手順を実行する前に考慮すべき事項は、次のとおりです。
  • この手順では、サンプル コードを使用しています。サンプル コードでは、Netlogon 共有が使用されています。また、%SystemRoot%\Temp フォルダがキャッシュとして使用されています。
  • この手順では、Contoso.com サンプル ドメインを使用しています。
  • この手順は、以下の条件を満たしていることを前提にしています。
    • 以下の技術とツールに関する詳しい知識がある。
      • グループ ポリシーのスタートアップ スクリプト
      • グループ ポリシー管理コンソール
      • Auditpol.exe コマンド ライン ツール
    • バッチ ファイルの処理に関する基本的な知識がある。
    • Windows Server 2003 ドメインまたは Windows 2000 ドメインにある Windows Vista クライアント コンピュータの監査ポリシーを構成できる。監査ポリシーは、規定のドメイン ポリシーに割り当てられています。
  • この手順で使用するスクリプトを使用すると、ドメインベースの以前の監査ポリシーの設定が Windows Vista で使用可能な監査ポリシーの詳細設定で上書きされます。Windows Vista で使用可能な監査ポリシーの詳細設定を構成する必要がない場合は、この資料で説明する手順を使用しないでください。

グループ ポリシーを使用して、Windows Vista クライアント コンピュータのセキュリティの監査の詳細設定を構成する

グループ ポリシーを使用して、Windows Server 2003 ドメインまたは Windows 2000 ドメインにある Windows Vista クライアント コンピュータのセキュリティの監査の詳細設定を構成するには、次の手順を実行します。

手順 1 : Windows Vista クライアント コンピュータに展開するセキュリティの監査の設定を決定する

  1. Windows Vista を実行しているコンピュータに管理者の資格情報を持つユーザーとしてログオンします。
  2. [スタート] ボタンをクリックし、[すべてのプログラム] をポイントし、[アクセサリ] をクリックし、[コマンド プロンプト] を右クリックして、[管理者として実行] をクリックします。
  3. [ユーザー アカウント制御] ダイアログ ボックスで、[続行] をクリックします。
  4. デフォルトの監査ポリシーの設定を削除します。削除するには、コマンド プロンプトで次の行を入力し、Enter キーを押します。
    auditpol /clear
  5. Auditpol.exe コマンド ライン ツールを使用して、必要なカスタム監査ポリシーの設定を構成します。

    たとえば、コマンド プロンプトで次の行を入力し、1 行入力するごとに Enter キーを押します。
    auditpol /set /subcategory:"ユーザー アカウント管理" /success:enable /failure:enable
    auditpol /set /subcategory:"ログオン" /success:enable /failure:enable
    auditpol /set /subcategory:"IPSEC メイン モード" /failure:enable
    : 設定可能なカテゴリおよびサブカテゴリをすべて表示するには、コマンド プロンプトで次の行を入力し、Enter キーを押します。
    auditpol /list /subcategory:*
  6. コマンド プロンプトで次の行を入力し、Enter キーを押します。
    auditpol /backup /file:auditpolicy.txt
  7. ドメイン内のプライマリ ドメイン コントローラ (PDC) エミュレータの役割を持つドメイン コントローラの Netlogon 共有に Auditpolicy.txt ファイルをコピーします。

    Auditpolicy.txt ファイルには、構成済みの監査ポリシーの設定がすべて含まれています。スタートアップ スクリプトでは、このファイルを使用してポリシーを再適用します。一度、スタートアップ スクリプトを正常に適用した後は、監査ポリシーの設定を更新するためにコンピュータを再起動する必要はありません。監査ポリシーの設定を更新するには、Netlogon 共有にコピーした以前のバージョンの Auditpolicy.txt ファイルを上書きします。これを行うには、Auditpolicy.txt ファイルを新しく作成し、作成した Auditpolicy.txt ファイルを Netlogon 共有にコピーします。

手順 2 : Windows Vista クライアント コンピュータの監査ポリシーが以前のドメインの監査ポリシーによって上書きされないようにする

監査ポリシーが以前のドメイン ポリシーによって上書きされないようにするには、"監査ポリシーのカテゴリ設定を上書きするよう、監査ポリシーのサブカテゴリを強制する (Windows Vista 以降)" ポリシーの設定を有効にする必要があります。これにより、Windows Vista クライアント コンピュータの監査ポリシーのより詳細な設定がドメインベースの監査ポリシーによって上書きされなくなります。これを行うには、次の手順を実行します。
  1. ドメインに参加している Windows Vista クライアント コンピュータで、規定のドメイン ポリシーを開きます。
  2. [コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー] の順に展開して、[セキュリティ オプション] をクリックします。
  3. [監査 : 監査ポリシーのカテゴリ設定を上書きするよう、監査ポリシーのサブカテゴリを強制する (Windows Vista 以降)] をダブルクリックします。
  4. [有効] をクリックし、[OK] をクリックします。

手順 3 : スクリプトを作成し、Netlogon 共有に追加する

マイクロソフトは、この情報をプログラミング言語の使用方法の一例として提供するだけであり、市場性および特定目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。この資料は、例示されているプログラミング言語やプロシージャの作成およびデバッグに使用するツールについて理解されているユーザーを対象としています。Microsoft Support 担当者は、特定のプロシージャの機能についての問い合わせにはお答えできますが、ユーザー固有の目的に合わせた機能の追加、プロシージャの作成などの内容変更は行っておりません。
  1. 以下の手順を実行して、ApplyAuditPolicy.cmd スクリプトを作成します。
    1. メモ帳を起動して、新しいドキュメントを開きます。
    2. メモ帳に以下のコードを貼り付けます。
      @echo off
      
      REM AuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  All rights reserved.
      REM Sample Audit Script to deploy Windows Vista
      REM Granular Audit Policy settings.
      
      REM Should be run as a startup script from Group Policy
      
      REM ###################################################
      REM Declare Variables so that we only need to edit file
      REM names/paths in one location in script
      REM ###################################################
      
      set AuditPolicyLog=%systemroot%\temp\auditpolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=applyauditpolicy.cmd
      set AuditPolicyTxt=auditpolicy.txt
      
      REM ###################################################
      REM Clear Log & start fresh
      REM ###################################################
      
      if exist %AuditPolicyLog% del %AuditPolicyLog% /q /f
      date /t > %AuditPolicyLog% & time /t >> %AuditPolicyLog%
      echo.
      
      REM ###################################################
      REM Check OS Version
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo OS Version=%osversion% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Skip Pre-Vista
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Get Domain Name
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Machine domain=%machinedomain% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Copy Script & Policy to Local Directory or Terminate
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Copied \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM Create Named Scheduled Task to Apply Policy
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /create /ru System /tn audit /sc hourly /mo 1 /f /rl highest /tr "%systemroot%\temp\%ApplyAuditPolicyCMD%"
      if %ERRORLEVEL% NEQ 0 (
          echo Failed to create scheduled task for Audit >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Created scheduled task for Audit >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM Start Named Scheduled Task to Apply Policy
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /run /tn audit
      if %ERRORLEVEL% NEQ 0 (
          Failed to execute scheduled task for Audit >> %AuditPolicyLog%
      ) else (
          echo Executed scheduled task for Audit >> %AuditPolicyLog%
      )
    3. [ファイル] メニューの [上書き保存] をクリックします。
    4. [ファイルの種類] ボックスの一覧の [すべてのファイル] をクリックし、[ファイル名] ボックスに AuditPolicy.cmd と入力し、[保存] をクリックします。
  2. 以下の手順を実行して ApplyAuditPolicy.cmd スクリプトを作成します。
    1. メモ帳を起動して、新しいドキュメントを開きます。
    2. メモ帳に以下のコードを貼り付けます。
      @echo off
      
      REM ApplyAuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  All rights reserved.
      REM Sample Audit Script to deploy Windows Vista
      REM Granular Audit Policy settings.
      
      
      REM ###################################################
      REM Declare Variables so that we only need to edit file
      REM names/paths in one location in script
      REM ###################################################
      
      set DeleteAudit=DeleteAudit.txt
      set AuditPolicyLog=%systemroot%\temp\AuditPolicy.log
      set ApplyAuditPolicyLog=%systemroot%\temp\ApplyAuditPolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=ApplyAuditpolicy.cmd
      set AuditPolicyTxt=AuditPolicy.txt
      
      REM ###################################################
      REM Clear Log & start fresh
      REM ###################################################
      
      if exist %ApplyAuditPolicyLog% del %ApplyAuditPolicyLog% /q /f
      date /t > %ApplyAuditPolicyLog% & time /t >> %ApplyAuditPolicyLog%
      echo.
      
      REM ###################################################
      REM Check OS Version
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo OS Version=%osversion% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Skip Pre-Vista
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Get Domain Name
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Machine domain=%machinedomain% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Delete Audit Task
      REM Should only be used to remove the pseudo-policy from
      REM client machines (designed for future Vista revisions
      REM where this script will no longer be necessary, and this
      REM script needs to be backed out).
      
      REM to use, simply create a file in NETLOGON with a name
      REM that matches the contents of DeleteAudit variable (above)
      REM ###################################################
      
      if exist \\%machinedomain%\netlogon\%DeleteAudit% (
          %systemroot%\system32\schtasks.exe /delete /tn "Audit" /F
          DEL %AuditPolicyLog%
          DEL %ApplyAuditPolicyLog%
          DEL %OSVersionSwap%
          DEL %OsVersionTxt%
          DEL %MachineDomainTxt%
          DEL %MachineDomainSwap%
          DEL %systemroot%\temp\%ApplyAuditPolicyCMD%
          DEL %systemroot%\temp\%AuditPolicyTxt%
          exit /b 1
      ) 
      
      REM ###################################################
      REM Copy Audit Policy to Local Directory
      REM This is tolerant of failures since the copy is just
      REM a "cache refresh".
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% so using previous cached copy>> %ApplyAuditPolicyLog%
      ) else (
          echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %ApplyAuditPolicyLog%
      )
      
      REM ###################################################
      REM Apply Policy
      REM ###################################################
      
      %systemroot%\system32\auditpol.exe /restore /file:%systemroot%\temp\%AuditPolicyTxt%
      if %ERRORLEVEL% NEQ 0 (
          Failed to apply audit settings >> %ApplyAuditPolicyLog%
      ) else (
          echo Successfully applied audit settings >> %ApplyAuditPolicyLog%
      )
    3. [ファイル] メニューの [上書き保存] をクリックします。
    4. [ファイルの種類] ボックスの一覧の [すべてのファイル] をクリックし、[ファイル名] ボックスに ApplyAuditPolicy.cmd と入力し、[保存] をクリックします。
  3. ドメイン内の PDC エミュレータの役割を持つドメイン コントローラの Netlogon 共有に、AuditPolicy.cmd スクリプトと ApplyAuditPolicy.cmd スクリプトをコピーします。
  4. Active Directory のレプリケーションが開始され、システム ボリューム (SYSVOL) 共有フォルダにあるファイルやフォルダがドメイン内のドメイン コントローラでレプリケートされるまで待ちます。
  5. 以下の手順を実行して、スタートアップ スクリプトを規定のドメイン ポリシーに追加します。
    1. Active Directory ユーザーとコンピュータ ツールを起動します。
    2. [DomainName] を右クリックし、[プロパティ] をクリックします。
    3. [グループ ポリシー] タブをクリックし、[規定のドメイン ポリシー] をクリックして、[編集] をクリックします。グループ ポリシー オブジェクト エディタ ツールが起動します。
    4. [コンピュータの構成]、[Windows の設定] を順に展開し、[スクリプト (スタートアップ/シャットダウン)] をクリックします。
    5. [スタートアップ] をダブルクリックして、[追加] をクリックします。
    6. [スクリプト名] ボックスに、Netlogon 共有にある AuditPolicy.cmd ファイルの UNC (Universal Naming Convention) パスを入力します。次の形式を使用します。
      \\FullyQualifiedDomainName\Netlogon\AuditPolicy.cmd
      たとえば、\\contoso.com\netlogon\auditpolicy.cmd と入力します。
    7. [OK] を 2 回クリックします。

手順 4 : セキュリティの監査の設定が正常に適用されたことを確認する

  1. Active Directory のレプリケーションが開始され、システム ボリューム (SYSVOL) 共有フォルダにあるファイルやフォルダがドメイン内のドメイン コントローラでレプリケートされるまで待ちます。
  2. Windows Vista クライアント コンピュータを再起動して、ドメインに参加させます。その後、管理者の資格情報を持つユーザーでコンピュータにログオンします。
  3. [スタート] ボタンをクリックし、[すべてのプログラム] をポイントして、[アクセサリ] をクリックします。
  4. [コマンド プロンプト] を右クリックし、[管理者として実行] をクリックします。
  5. [ユーザー アカウント制御] ダイアログ ボックスで、[続行] をクリックします。
  6. コマンド プロンプトで次の行を入力し、Enter キーを押します。
    auditpol /get /category:*
  7. コマンド プロンプトに表示されたセキュリティの監査の設定が、「手順 1 : Windows Vista クライアント コンピュータに展開するセキュリティの監査の設定を決定する」で作成した AuditPolicy.txt ファイルで構成した設定と一致することを確認します。

    セキュリティの監査の設定が一致しない場合は、スタートアップ スクリプトにより生成される %SystemRoot%\Temp フォルダにあるログ ファイルを調べます。%SystemRoot%\Temp フォルダにログ ファイルがない場合は、Windows Vista クライアント コンピュータを調べて、グループ ポリシーが適用されない原因を特定します。

関連情報

Active Directory でスタートアップ スクリプトを構成する方法の詳細については、次のマイクロソフト Web サイトを参照してください。
http://technet2.microsoft.com/WindowsServer/ja/Library/dcaa775e-0012-4e43-8e68-a31b32b4241f1041.mspx
http://technet2.microsoft.com/WindowsServer/ja/Library/65aa4e48-8b1f-42bc-b20f-64f67367dadc1041.mspx
グループ ポリシー管理コンソールの詳細については、次のマイクロソフト Web サイトを参照してください。
http://technet2.microsoft.com/WindowsServer/ja/Library/7a0aaa61-5152-4489-86c9-b083b22b21731041.mspx
Auditpol.exe コマンド ライン ツールおよび Schtasks.exe コマンド ライン ツールの詳細については、Windows Vista ヘルプとサポートを参照してください。

プロパティ

文書番号: 921469 - 最終更新日: 2007年3月20日 - リビジョン: 4.0
この資料は以下の製品について記述したものです。
  • Windows Vista Ultimate
  • Windows Vista Business
  • Windows Vista Enterprise
キーワード:?
kbexpertiseinter kbhowto kbinfo KB921469
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com