ADオブジェクトのSACL設定

 

GPOレポート、組織単位(OU)レポート、拡張属性の変更レポート、ユーザ/グループ/コンピュータのアクセス許可変更レポートを行うために必要な設定です。 ADオブジェクトの監査を行うためには、GPO "Default Domain Controllers Policy"への設定に加え、ここで説明するSACLの設定が必要です。 本章では、SACLの設定手順を説明します。

 

この作業を行うためには、Active Directoryの"Domain Admins"あるいは"Enterprise Admins"に属したユーザ、あるいはそれに相当した権限が委任されているユーザが必要です。  

 

このページで説明する内容:

  1. SACLの設定手順

    1. 組織単位(OU)監査のSACL設定(表1

    2. GPO監査のSACL設定(表2

    3. ユーザ監査のSACL設定(表3

    4. グループ監査のSACL設定(表4

    5. コンピュータ監査のSACL設定(表5

    6. 連絡先監査のSACL設定(表6

    7. コンテナ監査のSACL設定(表7

    8. パスワード設定オブジェクト監査のSACL設定(表8

    9. 構成監査のSACL設定(表9

    10. スキーマ監査のSACL設定(表10

    11. DNSオブジェクト監査のSACL設定(表11


1. SACLの設定手順(監査対象: 組織単位(OU)/GPO/ユーザ/グループ/コンピュータ/連絡先/コンテナ)

  1. "Active Directory ユーザーとコンピューター"スナップインを開きます。  

    1. ("スタート" → "コントロール パネル" → "管理ツール" → "Active Directory ユーザーとコンピューター ")

  2. メニューの "表示" → "拡張機能" にチェックが入っていることを確認します。入っていなければ選択してチェックを入れます。 これにチェックが入っていると、オブジェクトの拡張セキュリティ設定にアクセスすることができます。

  3. 左側のツリー表示で 、ドメイン名の上で右クリックします。

  4. "プロパティ"を選択し、"セキュリティ"タブをクリックします。

  5. "詳細設定"をクリックし、セキュリティの詳細設定を開きます。

  6. “監査タブ”をクリックし、“追加”をクリックしてセキュリティ ポリシーを適用する対象のセキュリティ プリンシパルを追加します(ここでは“Everyone”を対象とします)。  “OK”をクリックします。

  7. 監査エントリのウインドウが開きます。

グループ ポリシー コンテナ オブジェクトのSACL設定

トップ



ADオブジェクトの監査エントリ

SACL適用先オブジェクト

ドメイン

監査エントリの適用対象

Everyone

タイプ

成功

 

 

アクセス

適用先

Windows Server 2003

Windows Server 2008

 

 

1. 組織単位(OU)監査の監査エントリ

  • 組織単位(OU)オブジェクトの作成
  • 組織単位(OU)オブジェクトの削除

このオブジェクトとすべての子オブジェクト

このオブジェクトとすべての子オブジェクト

  • すべてのプロパティの書き込み
  • 削除
  • アクセス許可を変更

組織単位(OU)オブジェクト

子 組織単位(OU)オブジェクト

 

 

 

2. GPO監査の監査エントリ

  • groupPolicyContainer オブジェクトの作成
  • groupPolicyContainer オブジェクトの削除

このオブジェクトとすべての子オブジェクト

このオブジェクトとすべての子オブジェクト

  • すべてのプロパティの書き込み
  • 削除
  • アクセス許可を変更

groupPolicyContainer オブジェクト

子 groupPolicyContainer オブジェクト

 

3. ユーザ監査の監査エントリ

  • すべてのプロパティの書き込み
  • 削除
  • アクセス許可を変更
  • すべての拡張権利

ユーザー オブジェクト

子 ユーザー オブジェクト

 

4. グループ監査の監査エントリ

  • すべてのプロパティの書き込み
  • 削除
  • アクセス許可を変更
  • すべての拡張権利

グループ オブジェクト

子 グループ オブジェクト

 

5. コンピュータ監査の監査エントリ

  • すべてのプロパティの書き込み
  • 削除
  • アクセス許可を変更
  • すべての拡張権利

コンピューター オブジェクト

子 コンピューター オブジェクト

 

6. 連絡先監査の監査エントリ

  • すべてのプロパティの書き込み
  • 削除
  • アクセス許可の修正
    イオン
  • すべての拡張権利

連絡先 オブジェクト

子 連絡先 オブジェクト

 

7. コンテナ監査の監査エントリ

  • すべてのプロパティの書き込み
  • 削除
  • アクセス許可を変更
  • すべての拡張権利

コンテナー オブジェクト

子 コンテナー オブジェクト

 

トップ



1. SACLの設定手順(監査対象: パスワード設定オブジェクト)

  1. "Active Directory ユーザーとコンピューター" スナップインを開きます。  
    ("スタート" → "コントロール パネル" → "管理ツール" → "Active Directory ユーザーとコンピューター ")

  2. メニューの "表示" → "拡張機能" にチェックが入っていることを確認します。入っていなければ選択してチェックを入れます。 これにチェックが入っていると、オブジェクトの拡張セキュリティ設定にアクセスすることができます。

  3. 左側のツリーのの+マークをクリックしてを展開します。

  4. "System"コンテナを展開し、"Password Settings Container"の上で右クリックします。
  5. "プロパティ"を選択し、"セキュリティ"タブを開きます。
  6. 以下の設定を有効にします。

8. パスワード設定オブジェクトの監査エントリ

SACL適用先オブジェクト

CN=Password Settings Container, CN=System,<Default Naming Context>

監査エントリの適用対象

Everyone

タイプ

成功


 

アクセス

適用先

Windows Server 2003

Windows Server 2008

 

 

パスワード設定オブジェクトの監査エントリ

  • msDS-PasswordSettings オブジェクトの作成
  • msDS-PasswordSettings オブジェクトの削除

適用不可能

このオブジェクトとすべての子オブジェクト

  • すべてのプロパティの書き込み
  • 削除
  • アクセス許可を変更

適用不可能

子 msDS-PasswordSettings オブジェクト


1. SACLの設定手順(監査対象: 構成/スキーマ)

  1. ファイル名を指定して実行(Windowsキー+R)の画面で adsiedit.msc と入力して Enter を押します。
  2. ADSI エディターの左画面にある "ADSI エディター" で右クリックし、 "接続..." を選択します。
  3. "接続ポイント" → "既知の名前付けコンテキストを選択する" を選択し、"構成" を選択します。(スキーマSACLを設定する場合は"スキーマ"を選択します)
  4. 左側の"構成"をダブルクリックします。(スキーマの場合は"スキーマ"をダブルクリックします)
  5. 構成コンテキスト(スキーマ コンテキスト)を右クリックし、"プロパティ"を選択します。開いたウインドウで"セキュリティ"タブを開きます。
  6. "詳細設定"をクリックし、"監査"タブを開きます。
  7. 以下の手順を実行します。

9. AD構成オブジェクトの監査エントリ

SACL適用先オブジェクト

Configuration コンテキスト

監査エントリの適用対象

Everyone

タイプ

成功


 

アクセス

適用先

Windows Server 2003

Windows Server 2008

構成監査の監査エントリ

  • すべての子オブジェクトの作成
  • すべてのプロパティの書き込み
  • すべての子オブジェクトの削除
  • 削除
  • アクセス許可を変更
  • すべての拡張権利

このオブジェクトとすべての子オブジェクト

このオブジェクトとすべての子オブジェクト

10. ADスキーマ オブジェクトの監査エントリ

SACL適用先オブジェクト

Schema コンテキスト

監査エントリの適用対象

Everyone

タイプ

成功


 

アクセス

適用先

Windows Server 2003

Windows Server 2008

スキーマ監査の監査エントリ

  • すべての子オブジェクトの作成
  • すべてのプロパティの書き込み
  • すべての子オブジェクトの削除
  • 削除
  • アクセス許可を変更
  • すべての拡張権利

このオブジェクトとすべての子オブジェクト

このオブジェクトとすべての子オブジェクト


SACLの設定手順(監査対象: DNSオブジェクト)

  1. ファイル名を指定して実行(Windowsキー+R)の画面で adsiedit.msc と入力して Enter を押します。
  2. ADSI エディターの左画面にある "ADSI エディター" で右クリックし、 "接続..." を選択します。
  3. "接続ポイント" → "識別名または名前付けコンテキストを選択または入力する" を選択し、以下を入力します:
    1. ゾーンがデフォルト ドメイン パーティションに保存されている場合は、DC=adap, DC=internal, DC=com と入力します。(ドメイン名がadap.internal.comの場合) (このパーティションは一般的にはデフォルトでADSIエディタに読み込まれます)
    2. ゾーンが DomainDNSZones パーティションに保存されている場合は、DC=DomainDNSZones, DC=adap, DC=internal, DC=com と入力します。(ドメイン名がadap.internal.comの場合)
    3. ゾーンが ForestDNSZones パーティションに保存されている場合は、DC=ForestDNSZones, DC=adap, DC=internal, DC=com と入力します。(ドメイン名がadap.internal.comの場合)
  4. 左側の"既定の名前付けコンテキスト"をダブルクリックします。
  5. MicrosoftDNSコンテナを右クリックし、"プロパティ"を選択します。開いたウインドウで"セキュリティ"タブを開きます。
  6. "詳細設定"をクリックし、"監査"タブを開きます。
  7. 以下の手順を実行します。

11. DNSオブジェクトの監査エントリ

SACL適用先オブジェクト

*デフォルト ドメイン パーティション、DomainDNSZonesパーティション、ForestDNSZonesパーティション

監査エントリの適用対象

Everyone

タイプ

成功

メモ: 設定は利用中のドメイン名と、ゾーンが補完されているパーティションによって適用先が変わります。


 

アクセス

適用先

Windows Server 2003

Windows Server 2008

 

 

DNSゾーン監査の監査エントリ

  • DNS ゾーン オブジェクトの作成
  • DNS ゾーン オブジェクトの削除

このオブジェクトとすべての子オブジェクト

このオブジェクトとすべての子オブジェクト

  • すべてのプロパティの書き込み
  • 削除
  • アクセス許可を変更

DNS ゾーン オブジェクト

子 DNS ゾーン オブジェクト

 

 

DNSノード監査の監査エントリ

  • DNS ノード オブジェクトの作成
  • DNS ノード オブジェクトの削除

このオブジェクトとすべての子オブジェクト

このオブジェクトとすべての子オブジェクト

  • すべてのプロパティの書き込み
  • 削除
  • アクセス許可を変更

DNS ノード オブジェクト

子 DNS ノード オブジェクト

 

トップ

Copyright ゥ 2012, ZOHO Corp. All rights reserved.
ManageEngine