GPO監査を有効化するSACL設定

 

セキュリティ イベントをネットワーク管理者にレポートするポリシー

 

ADAudit Plusでセキュリティ イベントに関するレポートを有効化するには - ドメイン コントローラの"Active Directory ユーザーとコンピューター"の監査ポリシー設定において、監査ポリシーを定義する必要があります。

 

この作業を行うためには、Active Directoryの"Domain Admins"あるいは"Enterprise Admins"に属したユーザー、あるいはそれに相当した権限が委任されているユーザーが必要です。 セキュリティ上のベスト プラクティスとして、以下の操作は「管理者として実行」を使用することをお勧めします。   

  1. "Active Directory ユーザーとコンピューター"スナップインを開きます。  

    1. (“スタート”” → “コントロールパネル” → “管理ツール  → “Active Directory ユーザーとコンピューター”)

  2. 左側のツリー表示で 、ドメイン名の上で右クリックします。

  3. "プロパティ"を選択し、"セキュリティ"タブをクリックします。

  4. "詳細設定"をクリックし、セキュリティの詳細設定を開きます。

  5. "監査"タブをクリックし、"追加"をクリックしてセキュリティ ポリシーを適用する対象のセキュリティ プリンシパルを追加します(ここでは Everyone を対象とします)。"OK"をクリックします。

  6. 監査エントリのウインドウが開きます。

Active Directory上でのGPOの作成/削除を監査するには、以下の監査エントリを有効化する必要があります。

  1. 適用先: このオブジェクトとすべての子オブジェクト

  2. 以下の監査エントリのすべて、"成功"にチェックを入れます:

    1. groupPolicyContainer オブジェクトの作成

    2. groupPolicyContainer オブジェクトの削除

Active Directoryの groupPolicyContainer オブジェクトのすべてのプロパティの書き込み/削除/変更を監査するには、以下の監査エントリを有効化する必要があります。

  1. 適用先: "groupPolicyContainer オブジェクト"

  2. 以下の監査エントリのすべて、"成功"にチェックを入れます:

    1. すべてのプロパティの書き込み

    2. 削除

    3. アクセス許可を変更

 

以下の表は、GPO監視に必要なSACLの情報です:

 

 

SACL適用先オブジェクト

プリンシパル

タイプ

アクセス

スコープ

GPO作成/削除用SACL

ドメイン

Everyone

成功

  1. groupPolicyContainer オブジェクトの作成

  2. groupPolicyContainer オブジェクトの削除

 

このオブジェクトとすべての子オブジェクト

groupPolicyContainer オブジェクトのプロパティ書き込み、削除、アクセス許可の修正用SACL

ドメイン

Everyone

成功

  1. すべてのプロパティの書き込み

  2. 削除

  3. アクセス許可を変更

 

groupPolicyContainer オブジェクト

 

 

 

 

 

 

Copyright ゥ 2012, ZOHO Corp. All rights reserved.
ManageEngine