イベントログ収集に必要なアカウントの権限

ドメイン環境

管理者ユーザーの場合:

ドメインの管理者権限を持つ管理者ユーザーを使用する場合は、以下の設定を実施せずにWindowsデバイスのログを収集できます。


管理者以外のユーザーの場合:

ドメイン環境で管理者以外のユーザーを使用してログを収集するには、サービスアカウントに最小限の権限を設定する必要があります。最小限の権限を持つサービスアカウントを作成する手順は、以下のとおりです。


ステップ1:新規ユーザーを作成

  1. ドメイン管理者権限でドメインコントローラーにログインします。
  2. [ファイル名を指定して実行]を開き、[dsa.msc]と入力して[Active Directory ユーザーとコンピューター]画面を開きます。
  3. ドメインを右クリックし、[新規作成] → [ユーザー]をクリックします。

ステップ2:ドメインレベルのGPOを作成およびリンク

  1. ドメインコントローラーで[ファイル名を指定して実行]を開き、[gpmc.msc]と入力して[グループ ポリシーの管理]画面を開きます。
  2. ドメインを右クリックし、[このドメインに GPO を作成し、このコンテナーにリンクする]をクリックします。
  3. 新しいGPOに[ELA GPO]という名前を付け、[OK]をクリックします。
    non-admin-user-permission-01.png

ステップ3:Event Log ReadersおよびDistributed COM Usersにユーザーを追加

  1. ドメインコントローラーで[ファイル名を指定して実行]を開き、[gpmc.msc]と入力して[グループ ポリシーの管理]画面を開きます。
  2. 作成したGPOを右クリックし、[編集]をクリックします。
  3. グループポリシー管理エディターで、[ユーザーの構成] → [基本設定] → [コントロール パネルの設定] → [ローカル ユーザーとグループ]を開きます。
  4. [ローカル ユーザーとグループ]を右クリックし、[新規作成] → [ローカル グループ]をクリックします。
  5. グループ名として[Event Log Readers]を選択し、[現在のユーザーの追加]を選択して[追加]をクリック後、作成したユーザーを選択します。
  6. Distributed COM Usersを追加するには、[グループ名]から[Distributed COM Users]グループを選択して手順5を繰り返します。
    non-admin-user-permission-02.png

    7. 注記

    • Event Log Readers:このグループのメンバーは、イベントログを表示できます。
    • Distributed COM Users:このグループのメンバーは、コンピューター上でDistributed COMオブジェクトを起動、アクティブ化、および使用することができます。

ステップ4:ファイアウォールでWMIおよびリモートイベントのログ管理トラフィックを有効化

  1. [ファイル名を指定して実行]を開き、[gpmc.msc]と入力して[グループ ポリシーの管理]画面を開きます。
  2. 作成したGPOを右クリックし、[編集]をクリックします。
  3. [コンピューターの構成] → [ポリシー] → [Windows の設定] → [セキュリティの設定] → [セキュリティが強化された Windows ファイアウォール] → [受信の規則]を選択します。
  4. [受信の規則]を右クリック後、[新しい規則]を選択します。[事前定義]で[Windows Management Instrumentation (WMI)]を選択して、すべての規則を選択後、[接続を許可する]を選択します。
  5. リモートイベントのログ管理接続を許可するには、[事前定義]で[リモート イベントのログ管理]を選択して手順4を繰り返します。
    non-admin-user-permission-03.png

    6. 注記:ポート範囲「49152~65535」がWMI通信専用に開かれるため、他のアプリケーションからアクセスすることはできません。


ステップ5:グループポリシーを強制

  1. ドメインコントローラーでコマンドプロンプトを開き、[gpupdate/force]と入力します。
  2. 管理者権限を持つすべてのドメインコンピューターに対して上記の手順を繰り返します。

ステップ6:必要なWMI権限を付与


a. 単一のコンピューター(ドメイン/ワークグループ)の場合

  1. スタートメニューから[コンピューターの管理]を検索し、[管理者として実行]を選択します。
  2. [サービスとアプリケーション] → [WMI コントロール]を選択します。
  3. [WMI コントロール]を右クリック後、[プロパティ] → [セキュリティ]タブに移動します。名前空間で[Root\CIMV2]を選択し、画面右下の[セキュリティ]をクリックします。
  4. 作成したユーザーを追加し、アカウントの有効化、リモートの有効化、セキュリティの読み取り、メソッドの実行の権限を付与します。
  5. [詳細設定]をクリックし、作成したユーザーを選択します。[編集]をクリックし、[適用先:]にて[この名前空間と副名前空間]を指定後、[OK]をクリックします。
    non-admin-user-permission-04.png

    6. 注記

    • アカウントの有効化:ユーザーがWMIアカウントを有効化できるようにします。
    • リモートの有効化:ユーザーがWMIリソースへのリモートアクセスを有効化できるようにします。
    • セキュリティの読み取り:ユーザーがWMIリソースのセキュリティ設定を読み取ることができるようにします。
    • メソッドの実行:ユーザーがWMIクラス内で定義されたメソッドを実行できるようにします。

    これらの権限は、名前空間と副名前空間に適用されます。


b. 複数のドメインコンピューター(Windowsサーバーおよびワークステーション)の場合

  1. GPO(PowerShellスクリプト)を使用してWMI名前空間のセキュリティ権限を付与します。

    2. 注記:ユーザーがワークステーションでスクリプトを実行可能な権限を持っていることをご確認ください。持っていない場合は、以下の手順で権限を有効化します。


    1. ローカルグループポリシーエディターで、[コンピューターの構成] → [管理用テンプレート] → [Windws コンポーネント] → [Windows PowerShell]を開きます。
    2. [スクリプトの実行を有効にする]をダブルクリックします。
    3. 設定を[有効]にし、[適用] → [OK]をクリックします。
    1. スクリプトファイルをダウンロードします。
    2. ドメイン内の共有フォルダーにダウンロードしたスクリプトファイル「WMIrights.ps1」を追加します。
    3. 作成したGPOを右クリックし、[編集]をクリックします。
    4. [コンピューターの構成] → [ポリシー] → [Windows の設定] → [スクリプト (スタートアップ/シャットダウン)] → [スタートアップ]に移動します。[スタートアップ]を右クリックし、[プロパティ]を選択します。[PowerShellスクリプト]タブ → [追加]をクリックします。
    5. [スクリプトの追加]画面で[参照]をクリックし、共有フォルダーからPowerShellのスクリプトファイル(WMIrights.ps1)を選択し、スクリプトのパラメーターを[ドメイン名\ユーザー名]に設定します。
    6. [OK]をクリックして[スタートアップのプロパティ]画面に戻り、[適用] → [OK]をクリックします。
  2. 管理用テンプレートを設定します。
    1. グループポリシー管理エディターの左側ペインで、[コンピューターの構成] → [ポリシー] → [管理者テンプレート] → [システム]に移動します。
    2. [システム]配下の[スクリプト]を選択します。
    3. グループポリシー管理エディターの右側ペインで、[ログオン スクリプトを同期的に実行する]をダブルクリックします。設定を[有効]にし、[適用] → [OK]をクリックします。
    4. 続いて、[グループ ポリシー スクリプトの最大待機時間を指定する]をダブルクリックします。設定を[有効]にし、最大待機時間を10秒に設定して、[適用] → [OK]をクリックします。
    5. [システム]配下の[ログオン]に移動し、右側ペインで[コンピューターの起動およびログオンで常にネットワークを待つ]をダブルクリックします。設定を[有効]にし、[適用] → [OK]をクリックします。
    6. [システム]配下の[グループ ポリシー]に移動し、右側ペインで[グループ ポリシーの低速リンクの検出を構成する]をダブルクリックします。設定を[有効]にし、[適用] → [OK]をクリックします。
  3. GPOを適用します。
    1. グループポリシー管理エディターの左側ペインで、GPOを右クリックし、[プロパティ]を選択します。
    2. [セキュリティ]タブに移動して、[Authenticated Users]の[グループ ポリシーの適用]の[許可]からチェックを外します。
    3. [追加]をクリックし、表示される画面で、[オブジェクトの種類]をクリックし、対象のコンピューターとグループを選択します。
    4. 対象のコンピューターとグループの名前を入力し、[名前の確認]をクリックします。
    5. [OK]をクリックします。
    6. [セキュリティ]タブで、選択したコンピューターとグループの[グループ ポリシーの適用]の[許可]にチェックを入れ、[適用] → [OK]をクリックします。
    7. コンピューターを再起動し、ステップ5:グループポリシーを強制を実施して、WMI権限を付与するためのGPOを有効化します。

    注記

    • 必要なすべてのデバイスにWMI権限を付与した後、[コンピューターの構成] → [ポリシー] → [Windows の設定] → [スクリプト (スタートアップ/シャットダウン)] → [スタートアップ]から、スクリプトを削除します。削除しない場合、起動時に毎回スクリプトが実行されます。
    • 複数のワークグループデバイスの場合には適用できません。

    注記:以下動画を併せてご参照ください。

     

ワークグループ環境

ステップ1:Event Log ReadersおよびDistributed COM Usersにユーザーを追加

  1. 管理者権限でワークグループにログインします。[ファイル名を指定して実行]を開き、[compmgmt.msc]と入力して、[コンピューターの管理]画面を開きます。[コンピューターの管理] → [ローカル ユーザーとグループ]を開きます。
  2. [ユーザー]を右クリックして、新規ユーザーを追加します。
  3. [グループ]をクリックし、[Distributed COM Users]を右クリックします。[プロパティ] → [追加]をクリックし、作成したユーザーを追加します。
  4. [Event Log Readers]グループを選択して手順3を繰り返し、作成したユーザーを追加します。
    non-admin-user-permission-05.png

ステップ2:必要なWMI権限を付与

  1. ステップ6:必要なWMI権限を付与を参照し、必要なWMI権限を付与します。
    non-admin-user-permission-06.png

ステップ3:ファイアウォールでWMIおよびリモートイベントのログ管理トラフィックを有効化

  1. [ファイル名を指定して実行]を開き、[wf.msc]と入力して[セキュリティが強化された Windows ファイアウォール]を開きます。
  2. [受信の規則]を右クリック後、[新しい規則]を選択します。[事前定義]で[Windows Management Instrumentation (WMI)]を選択して、すべての規則を選択後、[接続を許可する]を選択します。
  3. リモートイベントのログ管理接続を許可するには、[事前定義]で[リモート イベントのログ管理]を選択して手順2を繰り返します。
    non-admin-user-permission-07.png