監査データ収集に必要な特権

ADAudit Plusがドメイン コントローラから監査データを収集するためには、以下のユーザ特権のうちのいずれかに該当するものをADAudit Plusの"ドメイン設定"画面で設定する必要があります。

Windows Server 2003のドメイン コントローラの場合

  1. "Domain Admins"に属するユーザ
  2. あるいはイベント ログ(セキュリティ ログ)の読み取り権限を持ち"C$"にアクセスできるユーザ
  3. DNS監査のためには、ユーザーは”DNS Admin”グループに所属していなければいけません

Windows Server 2008のドメイン コントローラーの場合

  1. "Domain Admins"に属するユーザーかつ
  2. DCOMとWMIにアクセス許可を追加

または

  1. イベント ログ(セキュリティ ログ)の読み取り権限を持ちかつ
  2. DCOMとWMIにアクセス許可を追加
  3. DNS監査のためには、ユーザーは”DNS Admin”グループに所属していなければいけません。

ユーザーにイベント ログの読み取り許可を与える

  1. ドメイン コントローラに管理者としてログオンします。
  2. スタート → すべてのプログラム → 管理ツール → ローカル セキュリティ ポリシー を選択します。
  3. セキュリティの設定 → ローカル ポリシー → ユーザー権利の割り当て を選択し、"監査とセキュリティ ログの管理"を開きます。
  4. "ユーザーまたはグループの追加"をクリックし、必要なユーザーを追加します。
ユーザーにイベント ログの読み取り許可を与える

DCOMとWMIにアクセス許可を与える

これらのアクセス許可はWindows Server 2008のドメイン コントローラーにのみ適用されるものです。

  1. DCOMアクセス許可を与える
  2. WMIアクセス許可を与える

DCOMアクセス許可を与える手順:

  1. ドメイン コントローラーに管理者としてログオンします。
  2. "ファイル名を指定して実行"を開きます。
  3. "dcomcnfg" と入力します。
    1. コンポーネント サービス → コンピューター → マイ コンピューター を開きます。
    2. "マイ コンピュータ"を右クリックし、"プロパティ"を選択します。
    3. "COM セキュリティ"タブを開きます。
    4. "起動とアクティブ化のアクセス許可"の"制限の編集"をクリックします。
    5. "追加"をクリックし、権限を与えるユーザを追加します。
    6. "ローカルからの起動"、"リモートからの起動"、"ローカルからのアクティブ化"、"リモートからのアクティブ化"のすべての"許可"にチェックを入れ、"OK"をクリックします。
WMIアクセス許可を与える

WMIアクセス許可を与える手順:

  1. ドメイン コントローラーに管理者としてログオンします。
  2. "ファイル名を指定して実行"を開きます。
  3. "wmimgmt.msc" と入力します。
    1. "セキュリティ"タブを開きます。
    2. "CIMV2"を展開して選択します。
    3. "セキュリティ"をクリックします。
    4. 権限を与えるユーザを追加し、表示されているすべてのアクセス許可の項目の"許可"にチェックを入れて、"OK"をクリックします。
WMIアクセス許可を与える