4. ファイルサーバー監査に必要な権限と許可設定

4.1 Power Usersグループにユーザーを追加

Power Usersグループに属するユーザーは、Windowsファイルサーバー上の共有フォルダー/ファイルをディスカバーできます。

  • ドメインコントローラーにDomain Adminsアカウントでログイン → [グループポリシーの管理]を開く → 新規作成したGPO("ADAudit Plus Permission GPO")を右クリック → 編集
  • [グループポリシー管理エディター]が開きます → コンピューターの構成 → 基本設定 → コントロールパネルの設定 → [ローカルユーザーとグループ]を右クリック → 新規作成 → ローカルグループ
  • 新しいローカルグループのプロパティが開きます → [操作]として[更新]を選択 → グループ名として[Power Users]を選択 → 新規作成したユーザー("ADAudit Plus")を追加

4.2 グループ管理権限をユーザーに付与

  • ドメインコントローラーにDomain Adminsアカウントでログイン → [Active Directoryユーザーとコンピューター]を開く → [Users]を右クリック → プロパティ → セキュリティ → 詳細設定 → 監査 → 追加 → 監査エントリにて、[プリンシパルの選択]をクリック → 新規作成したユーザー("ADAudit Plus")を追加 → [種類]:成功 → [適用先]: このオブジェクトとすべての子オブジェクト → アクセス許可:[グループオブジェクトの作成]と[グループオブジェクトの削除]にチェック
  • [Users]をクリック → 右ペインの[ADAuditPlusFS]を右クリック → プロパティ → 管理者 → 新規作成したユーザー("ADAudit Plus")を追加
  • [Users]をクリック → 右ペインの[ADAuditPlusWS]を右クリック → プロパティ → 管理者 → 新規作成したユーザー("ADAudit Plus")を追加

4.3 監査対象の共有フォルダーに対する読み取り権限をユーザーに付与

2通りの方法があります。

  • ユーザーをローカルAdministratorsグループに追加:
    • 任意のコンピューターにDomain Adminsアカウントでログイン → MMC(マイクロソフト管理)コンソールを開く → ファイル → スナップインの追加と削除 → [ローカルユーザーとグループ]を選択 → 追加 → 別のコンピューター → 監査対象ファイルサーバーを選択
    • 監査対象ファイルサーバーを選択 → [ローカルユーザーとグループ]を開く → [グループ]を選択 → 右ペインのAdministratorsを右クリック → プロパティ → 新規作成したユーザー("ADAudit Plus")を追加
    • 同じ手順を、監査対象ファイルサーバーすべてに対して実施します。
  • 監査対象共有フォルダーに対する共有・NTFS読み取り権限をユーザーに付与:
    • 任意のコンピューターにDomain Adminsアカウントでログイン → MMC(マイクロソフト管理)コンソールを開く → ファイル → スナップインの追加と削除 → [共有フォルダー]を選択 → 追加 → 別のコンピューター → 監査対象ファイルサーバーを選択
    • 監査対象ファイルサーバーを選択 → [共有]を選択 → 右ペインにて監査対象共有フォルダーを右クリック → プロパティ → [セキュリティ]タブ → 編集 → 新規作成したユーザー("ADAudit Plus")を追加後、読み取り権限をユーザーに付与 → [共有]タブ → 新規作成したユーザー("ADAudit Plus")を追加後、読み取り権限をユーザーに付与
    • 同じ手順を、監査対象共有フォルダーすべてに対して実施します。

4.4 DCOMとWMIに対するアクセス許可をユーザーに付与

Note: DCOMとWMIに対するアクセス許可は、ファイルクラスター監査とWMIモードでのイベント収集を実施する場合に必須です。

  • DCOMに対するアクセス許可付与手順:
    • 任意のコンピューターにDomain Adminsアカウントでログイン → [コンポーネントサービス]を開く → 監査対象コンピューターに接続 → 監査対象コンピューターを右クリック → プロパティ → [COMセキュリティ]タブ
    • [起動とアクティブ化のアクセス許可]の[制限の編集]をクリック→ 新規作成した("ADAudit Plus")を追加後、表示されているすべてのアクセス許可項目にチェック
    • 同じ手順を、監査対象コンピューターすべてに対して実施します。
  • WMIに対するアクセス許可付与手順:
    • 任意のコンピューターにDomain Adminsアカウントでログイン → コマンドプロンプトを起動して、"wmimgmt.msc" を実行 → WMIコントロールを右クリック → [別のコンピューターに接続]より、監査対象コンピューターに接続
    • 監査対象コンピューターを右クリック → プロパティ → セキュリティ → Root\CIMV2を選択 → 右下の[セキュリティ]をクリック → 新規作成した("ADAudit Plus")を追加後、表示されているすべてのアクセス許可項目にチェック
    • 同じ手順を、監査対象コンピューターすべてに対して実施します。

4.5 c$共有への読み取り権限をユーザーに付与

NetApp C-Modeのログファイルにアクセスするためには、c$共有(\\Netapp-name\C$)への読み取り権限を有する必要があります。