![]() ![]() ![]() |
GPOレポート、組織単位(OU)レポート、拡張属性の変更レポート、ユーザ/グループ/コンピュータのアクセス許可変更レポートを行うために必要な設定です。 ADオブジェクトの監査を行うためには、GPO "Default Domain Controllers Policy"への設定に加え、ここで説明するSACLの設定が必要です。 本章では、SACLの設定手順を説明します。
この作業を行うためには、Active Directoryの"Domain Admins"あるいは"Enterprise Admins"に属したユーザ、あるいはそれに相当した権限が委任されているユーザが必要です。
このページで説明する内容:
1. SACLの設定手順(監査対象: 組織単位(OU)/GPO/ユーザ/グループ/コンピュータ/連絡先/コンテナ)
"Active Directory ユーザーとコンピューター"スナップインを開きます。
("スタート" → "コントロール パネル" → "管理ツール" → "Active Directory ユーザーとコンピューター ")
メニューの "表示" → "拡張機能" にチェックが入っていることを確認します。入っていなければ選択してチェックを入れます。 これにチェックが入っていると、オブジェクトの拡張セキュリティ設定にアクセスすることができます。
左側のツリー表示で 、ドメイン名の上で右クリックします。
"プロパティ"を選択し、"セキュリティ"タブをクリックします。
"詳細設定"をクリックし、セキュリティの詳細設定を開きます。
“監査タブ”をクリックし、“追加”をクリックしてセキュリティ ポリシーを適用する対象のセキュリティ プリンシパルを追加します(ここでは“Everyone”を対象とします)。 “OK”をクリックします。
監査エントリのウインドウが開きます。
グループ ポリシー コンテナ オブジェクトのSACL設定
ADオブジェクトの監査エントリ
SACL適用先オブジェクト |
ドメイン |
監査エントリの適用対象 |
Everyone |
タイプ |
成功 |
|
アクセス |
適用先 |
|
Windows Server 2003 |
Windows Server 2008 |
||
|
|
このオブジェクトとすべての子オブジェクト |
このオブジェクトとすべての子オブジェクト |
|
組織単位(OU)オブジェクト |
子 組織単位(OU)オブジェクト |
|
|
|
このオブジェクトとすべての子オブジェクト |
このオブジェクトとすべての子オブジェクト |
|
groupPolicyContainer オブジェクト |
子 groupPolicyContainer オブジェクト |
|
|
|
ユーザー オブジェクト |
子 ユーザー オブジェクト |
|
|
グループ オブジェクト |
子 グループ オブジェクト |
|
|
コンピューター オブジェクト |
子 コンピューター オブジェクト |
|
|
連絡先 オブジェクト |
子 連絡先 オブジェクト |
|
|
コンテナー オブジェクト |
子 コンテナー オブジェクト |
1. SACLの設定手順(監査対象: パスワード設定オブジェクト)
"Active Directory ユーザーとコンピューター" スナップインを開きます。
("スタート" → "コントロール パネル" → "管理ツール" → "Active Directory ユーザーとコンピューター ")
メニューの "表示" → "拡張機能" にチェックが入っていることを確認します。入っていなければ選択してチェックを入れます。 これにチェックが入っていると、オブジェクトの拡張セキュリティ設定にアクセスすることができます。
左側のツリーのの+マークをクリックしてを展開します。
8. パスワード設定オブジェクトの監査エントリ
SACL適用先オブジェクト |
CN=Password Settings Container, CN=System,<Default Naming Context> |
監査エントリの適用対象 |
Everyone |
タイプ |
成功 |
|
アクセス |
適用先 |
|
Windows Server 2003 |
Windows Server 2008 |
||
|
|
適用不可能 |
このオブジェクトとすべての子オブジェクト |
|
適用不可能 |
子 msDS-PasswordSettings オブジェクト |
SACL適用先オブジェクト |
Configuration コンテキスト |
監査エントリの適用対象 |
Everyone |
タイプ |
成功 |
|
アクセス |
適用先 |
|
Windows Server 2003 |
Windows Server 2008 |
||
構成監査の監査エントリ |
|
このオブジェクトとすべての子オブジェクト |
このオブジェクトとすべての子オブジェクト |
SACL適用先オブジェクト |
Schema コンテキスト |
監査エントリの適用対象 |
Everyone |
タイプ |
成功 |
|
アクセス |
適用先 |
|
Windows Server 2003 |
Windows Server 2008 |
||
スキーマ監査の監査エントリ |
|
このオブジェクトとすべての子オブジェクト |
このオブジェクトとすべての子オブジェクト |
SACL適用先オブジェクト |
*デフォルト ドメイン パーティション、DomainDNSZonesパーティション、ForestDNSZonesパーティション |
監査エントリの適用対象 |
Everyone |
タイプ |
成功 |
メモ: 設定は利用中のドメイン名と、ゾーンが補完されているパーティションによって適用先が変わります。
|
アクセス |
適用先 |
|
Windows Server 2003 |
Windows Server 2008 |
||
DNSゾーン監査の監査エントリ |
|
このオブジェクトとすべての子オブジェクト |
このオブジェクトとすべての子オブジェクト |
|
DNS ゾーン オブジェクト |
子 DNS ゾーン オブジェクト |
|
DNSノード監査の監査エントリ |
|
このオブジェクトとすべての子オブジェクト |
このオブジェクトとすべての子オブジェクト |
|
DNS ノード オブジェクト |
子 DNS ノード オブジェクト |
![]() ![]() ![]() |