ドメイン コントローラー上のローカル ログオン/ログオフをADAudit Plusでレポートするためには、GPO設定が必要です。 ドメイン コントローラに関連付けられたGPO上で、"ログオン イベントの監査"の"成功"および"失敗"のポリシーを有効化する必要があります。
この作業を行うためには、Active Directoryの"Domain Admins"あるいは"Enterprise Admins"に属したユーザー、あるいはそれに相当した権限が委任されているユーザーが必要です。 セキュリティ上のベスト プラクティスとして、以下の操作は「管理者として実行」を使用することをお勧めします。
ドメイン コントローラ向けのGPOで、ローカル ログオン監査を有効化する手順(イメージ)
"Active Directory ユーザーとコンピューター"スナップインを開きます。
("スタート" → "コントロール パネル" → "管理ツール" → "Active Directory ユーザーとコンピューター ")
左側のツリー表示で "Domain Controllers" という名前の組織単位(OU)を探し、その上で右クリックします。
「プロパティ」を選択し、“グループポリシー"タブをクリックします。
新しいグループ ポリシー オブジェクトを追加するには“追加”をクリックし、 “グループ ポリシー オブジェクト エディター”を編集するには“グループ ポリシー オブジェクト エディター”をクリックします。
"グループ ポリシー 管理エディター"の左側ツリーより、
"コンピューターの構成" → "ポリシー" → "Windows の設定" → "セキュリティの設定" → "ローカル ポリシー" → "監査ポリシー"を選択します。
右ベインより"ログオン イベントの監査"をダブルクリックし、"これらのポリシーの設定を定義する"にチェックを入れ、さらに"成功"と"失敗"の両方にチェックを入れます。最後に"OK"をクリックします。
このGPOの設定がドメイン コントローラに適用されます。
ローカル ログオン監査がドメイン コントローラのGPOで有効になりました。