現在オフラインです。再接続するためにインターネットの接続を待っています

[HOWTO] Windows Server 2003 で Active Directory オブジェクトを監査する方法

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

Microsoft Windows 2000 については、次の資料を参照してください。
314955 HOW TO: Audit Active Directory Objects in Windows 2000
314955 [HOW TO] Windows 2000 で Active Directory オブジェクトを監査する方法

この資料の内容

概要
この資料では、Windows Server 2003 の監査機能を使用して、Active Directory 内でのユーザーの操作およびシステム全体のイベントを追跡する方法について順を追って説明します。

Windows Server 2003 の監査機能を使用すると、コンピュータ上で、イベントと呼ばれる、ユーザーの操作と Windows Server 2003 の動作の両方を追跡できます。監査機能を使用すると、セキュリティ ログに書き込まれるイベントを指定できます。たとえば、セキュリティ ログでは、有効なログオンおよび無効なログオンの試行や、ファイルまたはその他のオブジェクトを作成したり、開いたり、削除したりすることに関連するイベントを保持できます。セキュリティ ログの監査エントリには、以下の情報が含まれます。
  • 実行された操作
  • 操作を実行したユーザー
  • イベントの成功または失敗とイベントの発生時刻
監査ポリシー設定では、Windows Server 2003 により各コンピュータのセキュリティ ログに記録されるイベントのカテゴリを定義します。セキュリティ ログを使用して、指定したイベントを追跡できます。

Active Directory のイベントを監査する場合、Windows Server 2003 ではドメイン コントローラのセキュリティ ログにイベントが書き込まれます。たとえば、ユーザーがドメイン ユーザー アカウントを使用してドメインへログオンしようとし、その試行が失敗した場合、そのイベントはログオンを試行したコンピュータではなくドメイン コントローラに記録されます。この現象は、ログオン試行の認証が行えなかったのはドメイン コントローラであるために発生します。

Windows Server 2003 によってセキュリティ ログに記録されるイベントを表示するには、イベント ビューアを使用します。また、ログ ファイルを保管して経時的な傾向を追跡することもできます。たとえば、プリンタまたはファイルの使用状況を確認したり、許可されていないリソースの使用を検証したりする場合に利用できます。

Active Directory オブジェクトの監査機能を有効にするには、以下の手順を実行します。
  • ドメイン コントローラの監査ポリシー設定を構成します。監査ポリシー設定を構成すると、オブジェクトの監査はできますが、監査するオブジェクトの指定はできません。
  • 特定の Active Directory オブジェクトに対して監査を構成します。ファイル、プリンタ、および Active Directory オブジェクトに対して監査するイベントを指定すると、それらのイベントが追跡され、ログに記録されます。
先頭に戻る

ドメイン コントローラの監査ポリシー設定を構成する

デフォルトでは、監査機能は無効になっています。ドメイン コントローラについては、ドメイン内のすべてのドメイン コントローラに 1 つの監査ポリシー設定が構成されています。ドメイン コントローラで発生するイベントを監査するには、ドメインの非ローカル グループ ポリシー オブジェクト (GPO) でドメイン コントローラすべてに監査ポリシー設定が適用されるように構成します。このポリシー設定には組織単位 Domain Controllers を通してアクセスできます。Active Directory オブジェクトへのユーザーのアクセスを監査するには、監査ポリシー設定でディレクトリ サービスのアクセスを監査するイベントのカテゴリを構成します。

  • 監査ポリシーの設定、または監査ログの表示を行うコンピュータで、"監査とセキュリティ ログの管理" ユーザー権利を付与する必要があります。Windows Server 2003 では、デフォルトで Administrators グループにこの権利が付与されています。
  • 監査するファイルまたはフォルダは、Microsoft Windows NT ファイル システム (NTFS) のボリューム上に存在する必要があります。
ドメイン コントローラの監査ポリシー設定を構成するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に [管理ツール] をポイントし、[Active Directory ユーザーとコンピュータ] をクリックします。
  2. [表示] メニューの [拡張機能] をクリックします。
  3. [Domain Controllers] を右クリックし、[プロパティ] をクリックします。
  4. [グループ ポリシー] タブをクリックし、[Default Domain Controllers Policy] をクリックして [編集] をクリックします。
  5. [コンピュータの構成] をクリックし、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー]、[監査ポリシー] を順にダブルクリックします。
  6. 右ウィンドウで、[ディレクトリ サービスのアクセスの監査] を右クリックし、[プロパティ] をクリックします。
  7. [これらのポリシーの設定を定義する] チェック ボックスをオンにし、以下のチェック ボックスのいずれかまたは両方をオンにします。
    • [成功] : イベント カテゴリの成功を監査する場合、このチェック ボックスをオンにします。
    • [失敗] : イベント カテゴリの失敗を監査する場合、このチェック ボックスをオンにします。
  8. その他の監査するイベント カテゴリを右クリックし、[プロパティ] をクリックします。
  9. [OK] をクリックします。
  10. コンピュータの監査ポリシー設定に対して行った変更は、ポリシー設定がコンピュータに伝達 (適用) された場合にのみ有効になるため、以下の手順のいずれかを実行してポリシーの伝達を開始します。
    • コマンド プロンプトで gpupdate /Target:computer と入力し、Enter キーを押します。
    • ポリシーの伝達が自動的に実行されるのを待ちます。ポリシーの伝達は一定の間隔で実行され、設定は変更できます。ポリシーの伝達は、デフォルトでは 5 分ごとに実行されます。
  11. セキュリティ ログを開き、ログに記録されたイベントを表示します。

    : ドメイン管理者またはエンタープライズ管理者の場合は、ワークステーション、メンバ サーバー、およびドメイン コントローラのセキュリティの監査機能をリモートで有効にすることができます。
先頭に戻る

特定の Active Directory オブジェクトの監査を構成する

監査ポリシーを構成すると、アクセスの種類およびアクセスの監査対象のユーザーを指定することによって、ユーザー、コンピュータ、組織単位、またはグループなどの特定のオブジェクトに対する監査を構成できます。特定の Active Directory オブジェクトの監査を構成するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に [管理ツール] をポイントし、[Active Directory ユーザーとコンピュータ] をクリックします。
  2. [編集] メニューの [拡張機能] がオンになっている (横にチェック マークが付いている) ことを確認します。
  3. 監査する Active Directory オブジェクトを右クリックし、[プロパティ] をクリックします。
  4. [セキュリティ] タブをクリックし、[詳細設定] をクリックします。
  5. [監査] タブをクリックし、[追加] をクリックします。
  6. 以下のいずれかの手順を実行します。
    • [選択するオブジェクト名を入力してください] ボックスに、アクセスを監査するユーザーまたはグループの名前を入力し、[OK] をクリックします。
    • 名前の一覧を参照し、アクセスを監査するユーザーまたはグループの名前をダブルクリックします。
  7. 監査する操作の [成功] または [失敗] のいずれかのチェック ボックスをオンにし、[OK] をクリックします。
  8. [OK] を 2 回クリックします。
先頭に戻る

トラブルシューティング

セキュリティ ログのサイズには制限があります。そのため、監査するファイルおよびフォルダを慎重に選択することをお勧めします。また、セキュリティ ログに使用するディスク容量を検討します。最大サイズはイベント ビューアで定義します。

先頭に戻る
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 814595 (最終更新日 2003-06-06) を基に作成したものです。
プロパティ

文書番号:814595 - 最終更新日: 03/17/2004 20:20:00 - リビジョン: 5.1

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86)

  • kbhowtomaster kbactivedirectory KB814595
フィードバック