Windows Server 2008 R2、Windows Server 2008 または Windows Server 2003 の共有ファイル サーバーでオブジェクト アクセスの監査を有効にし Office ドキュメントを編集し保存をすると、イベント ログに “失敗の監査 : ID 560” が出力される

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響します。 この変更の意味および保護された状態を維持する方法について説明します。

現象
Windows Server 2008 R2、Windows Server 2008、または Microsoft Windows Server 2003 の共有ファイル サーバーでオブジェクト アクセスの監査を有効にした場合に、共有フォルダー上の Office ドキュメント (Word、Excel、PowerPoint など) を編集して上書き保存をすると、共有ファイル サーバー上のセキュリティ イベント ログに "失敗の監査 : ID 560" が出力される場合があります。

この現象は、編集するファイルに対してフルコントロールのアクセス権を持つユーザーの場合でも発生します。

なお、上記の条件で記録されるセキュリティ イベント ログの "失敗の監査 : ID 560" は、無視しても問題はありません。
原因
Excel や Word などの、Office 関連のアプリケーションではファイル保存の際に、テンポラリ ファイルから置き換えをします。Windows XP 以降、ファイルの置き換えをするために ReplaceFileW() 関数を呼び出しますが、ファイルに付与されている監査設定 (SACL) を引き継ぐことができるよう、 ACCESS_SYSTEM_SECURITY フラグを付けて処理の要求をします。

ACCESS_SYSTEM_SECURITY フラグが付いた状態のリクエストを処理するためには、ファイル サーバー上に該当のユーザーに対しての SeSecurityPrivilege 権限が必要で、この権限がユーザーに明示的に割り当てられていない場合には、SACL のコピーに失敗して、この現象が発生します。
回避策
イベント ログに "失敗の監査 ID 560" の出力は、以下の手順に従って、ファイル サーバーの [監査とセキュリティ ログの管理] の設定にユーザーまたはユーザーが所属するグループを追加することで抑止できます。

注 : この権限を付与されたユーザーは、セキュリティ ログの表示および削除をすることができる権限が付与されるため、イベント ログの記録を抑止するだけの目的で権限を付与することは推奨できません。
  1. ファイル サーバーで、[スタート] メニューの [ファイル名を指定して実行] をクリックします。
  2. [ファイル名を指定して実行] ダイアログ ボックスの [名前] セクションに gpedit.msc と入力し、[OK] をクリックします。
  3. [ローカル コンピュータ ポリシー管理エディター] ダイアログ ボックスの [コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー]、[ユーザー権利の割り当て] を順にクリックして展開します。
  4. 右ペインから [監査とセキュリティ ログの管理] をダブルクリックします。
  5. [ユーザーまたはグループの追加] ボタンをクリックし、[参照] ボタンをクリックします。
  6. [ユーザー、コンピューターまたはグループの選択] ダイアログ ボックスの各ボックスに共有フォルダー、およびファイルの操作ユーザー、またはファイルを操作するユーザーを含んだセキュリティ グループを追加し、[OK] をクリックします。
状況
この動作は仕様です。
詳細

問題の再現手順

  1. 共有ファイル サーバー上に共有フォルダーを作成します。
  2. 作成した共有フォルダー名を右クリックし、[プロパティ] をクリックします。
  3. [セキュリティ] タブをクリックし、[追加] をクリックします。
  4. ファイルを操作する対象ユーザー、またはセキュリティ グループを追加し、[OK] をクリックします。
  5. 追加したユーザー、またはセキュリティ グループに [フル コントロール] 権限を付与します。
  6. [詳細設定] をクリックします。
  7. [監査] タブをクリックし、[追加] をクリックして everyone と入力します。
  8. [名前解決] をクリックし、[OK] をクリックします。
  9. 以下の項目を設定します。
    • [適用先] の [このフォルダ、サブフォルダーおよびファイル] をクリックします。
    • [フォルダのスキャン/ファイルの実行] の [成功] と [失敗] チェックボックスをオンにします。
    • [フォルダの一覧/データの読み取り] の [成功] と [失敗] チェックボックスをオンにします。
    • [ファイルの作成/データの書き込み] の [成功] チェックボックスをオンにします。
    • [フォルダの作成/データの追加] の [成功] のチェックボックスをオンにします。
  10. [アクセス許可] タブをクリックし、[追加] をクリックします。
  11. [OK] をクリックし、[プロパティ] ダイアログ ボックスを閉じます。
  12. ファイル サーバーで、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  13. [ファイル名を指定して実行] ダイアログ ボックスの [名前] セクションに gpedit.msc と入力し、[OK] をクリックします。
  14. [ローカル コンピュータ ポリシー管理エディター] ダイアログ ボックスの [コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー]、[監査ポリシー] を順にクリックして展開します。
  15. 右ペインから [オブジェクト アクセスの監査] をダブルクリックします。
  16. [成功] と [失敗] チェックボックスをオンにし、[OK] をクリックします。
  17. フルコントロール権限を保持するユーザーで、共有ファイル サーバーの共有フォルダーにアクセスします。
  18. 共有フォルダー上の Office ファイルを開いて変更を加え上書き保存します。
結果
共有ファイル サーバー上のセキュリティ イベント ログに "失敗の監査 : ID 560" が出力されます。
プロパティ

文書番号:2028902 - 最終更新日: 09/29/2016 14:32:00 - リビジョン: 3.0

Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)

  • kbharmony kbexpertiseinter kbexpertiseadvanced kbtshoot kbprb KB2028902
フィードバック