セキュリティ イベントをネットワーク管理者にレポートするポリシー
ADAudit Plusでセキュリティ イベントに関するレポートを有効化するには - ドメイン コントローラの"Active Directory ユーザーとコンピューター"の監査ポリシー設定において、監査ポリシーを定義する必要があります。
この作業を行うためには、Active Directoryの"Domain Admins"あるいは"Enterprise Admins"に属したユーザー、あるいはそれに相当した権限が委任されているユーザーが必要です。 セキュリティ上のベスト プラクティスとして、以下の操作は「管理者として実行」を使用することをお勧めします。
"Active Directory ユーザーとコンピューター"スナップインを開きます。
(“スタート”” → “コントロールパネル” → “管理ツール” → “Active Directory ユーザーとコンピューター”)
左側のツリー表示で 、ドメイン名の上で右クリックします。
"プロパティ"を選択し、"セキュリティ"タブをクリックします。
"詳細設定"をクリックし、セキュリティの詳細設定を開きます。
"監査"タブをクリックし、"追加"をクリックしてセキュリティ ポリシーを適用する対象のセキュリティ プリンシパルを追加します(ここでは Everyone を対象とします)。"OK"をクリックします。
監査エントリのウインドウが開きます。
Active Directory上での組織単位(OU)の作成/削除を監査するには、以下の監査エントリを有効化する必要があります:
適用先: このオブジェクトとすべての子オブジェクト
以下の監査エントリのすべて、"成功"にチェックを入れます:
組織単位(OU)オブジェクトの作成
組織単位(OU)オブジェクトの削除
Active Directory上での組織単位(OU)のすべてのプロパティの書き込み、削除、アクセス許可の変更を監査するには、以下の監査エントリを有効化する必要があります:
適用先: 組織単位(OU)オブジェクト
以下の監査エントリのすべて、"成功"にチェックを入れます:
すべてのプロパティの書き込み
削除
アクセス許可を変更
Active Directory上での組織単位(OU)内でのユーザ、グループ、コンピュータの作成を監査するには、以下の監査エントリを有効化する必要があります:
適用先: このオブジェクトとすべての子オブジェクト
以下の監査エントリのすべて、"成功"にチェックを入れます:
ユーザー オブジェクトの作成
グループ オブジェクトの作成
コンピューター オブジェクトの作成
以下の表は、組織単位(OU)監査に必要なSACLの情報です:
|
SACL適用先オブジェクト |
プリンシパル |
タイプ |
アクセス |
スコープ |
組織単位(OU)オブジェクト作成/削除用SACL |
ドメイン |
Everyone |
成功 |
組織単位(OU)オブジェクトの作成、組織単位(OU)オブジェクトの削除 |
このオブジェクトとすべての子オブジェクト |
組織単位(OU)オブジェクトのすべてのプロパティ書き込み、削除、アクセス許可の修正用SACL |
ドメイン |
Everyone |
成功 |
すべてのプロパティの書き込み、削除、アクセス許可の修正 |
組織単位(OU)オブジェクト |
組織単位(OU)での子オブジェクト(ユーザ、グループ、コンピュータ)作成の監査を有効化するSACL |
ドメイン |
Everyone |
成功 |
ユーザー オブジェクトの作成、グループ オブジェクトの作成、コンピューター オブジェクトの作成 |
このコンテナとすべてのサブ コンテナとオブジェクト |