オブジェクトレベル監査(SACL)の手動設定

Active Directory オブジェクト関連のアクティビティが発生するたびにイベントログが記録されるよう、オブジェクト レベル監査(SACL)を構成する必要があります。

OU、GPO、ユーザー、グループ、コンピュータ、および連絡先オブジェクトの監査の構成

  • 「Active Directory ユーザーとコンピューター」を開きます。

    • メニューの "表示" → "拡張機能" にチェックが入っていることを確認します。入っていなければ選択してチェックを入れます。 これにチェックが入っていると、オブジェクトの拡張セキュリティ設定にアクセスすることができます。

    左側のツリーの中のドメイン名の上で右クリック→"プロパティ"→"セキュリティ"タブをクリックします。"詳細設定"をクリック→"監査"タブをクリック→"追加"をクリックしてセキュリティ ポリシーを適用する対象のセキュリティプリンシパルを追加します(ここではEveryoneを対象とします)。"OK"をクリックします。

    以下の表を参照し、必要な監査エントリを設定してください。

    適切な権限を選択する前に、[すべて削除]を使用してすべての権限とプロパティを削除してください。

監査エントリ番号 監査エントリ アクセス 適用先
Windows Server 2003 Windows Server 2008 以降
1&2 OU
  • 組織単位オブジェクトの作成
  • 組織単位オブジェクトの削除
 このオブジェクトとすべての子オブジェクト このオブジェクトとすべての子オブジェクト
  • すべてのプロパティの書き込み
  • 削除
  • アクセス許可を変更
 組織単位オブジェクト 子 組織単位オブジェクト
3&4 GPO
  • groupPolicyContainer オブジェクトの作成
  • groupPolicyContainer オブジェクトの削除
 このオブジェクトとすべての子オブジェクト このオブジェクトとすべての子オブジェクト
  • すべてのプロパティの書き込み
  • 削除
  • アクセス許可を変更
 groupPolicyContainer オブジェクト 子 groupPolicyContainer オブジェクト
5&6 ユーザー
  • ユーザーオブジェクトの作成
  • ユーザーオブジェクトの削除
 このオブジェクトとすべての子オブジェクト このオブジェクトとすべての子オブジェクト
  • すべてのプロパティの書き込み
  • 削除
  • アクセス許可を変更
  • すべての拡張権利
 ユーザーオブジェクト 子 ユーザーオブジェクト
7&8 グループ
  • グループオブジェクトの作成
  • グループオブジェクトの削除
 このオブジェクトとすべての子オブジェクト このオブジェクトとすべての子オブジェクト
  • すべてのプロパティの書き込み
  • 削除
  • アクセス許可を変更
  • すべての拡張権利
 グループオブジェクト 子 グループオブジェクト
9&10 コンピュータ
  • コンピュータオブジェクトの作成
  • コンピュータオブジェクトの削除
 このオブジェクトとすべての子オブジェクト このオブジェクトとすべての子オブジェクト
  • すべてのプロパティの書き込み
  • 削除
  • アクセス許可を変更
  • すべての拡張権利
 コンピューターオブジェクト 子 コンピュータオブジェクト
11&12 連絡先
  • 連絡先オブジェクトの作成
  • 連絡先オブジェクトの削除
 このオブジェクトとすべての子オブジェクト このオブジェクトとすべての子オブジェクト
  • すべてのプロパティの書き込み
  • 削除
  • アクセス許可を変更
 連絡先オブジェクト 子 連絡先オブジェクト
active-directory-audit-configuring-auditing-for-ou-gpo-usergroup-computer-contact-objects

画像表示:監査エントリ番号 1。

12 個の監査エントリをすべて有効にする必要があります。

コンテナオブジェクトを監査する方法

  • ファイル名を指定して実行(Windowsキー+R)の画面で adsiedit.msc と入力して Enter を押します。
  • ADSI エディターの左画面にある "ADSI エディター" で右クリックし、 "接続..." を選択します。
  • "接続ポイント" → "既知の名前付けコンテキストを選択する" →"既定の名前付けコンテキスト"を選択します。
  • ”既定の名前付けコンテキスト”をクリックします。
  • ”ドメインの識別名”を右クリックし、プロパティ-->セキュリティを選択します。
  • "詳細設定"をクリックし、"監査"タブを開きます。
  • 以下の表を参照し、必要な監査エントリを設定してください。

権限を選択する前に、[すべて削除]を使用してすべての権限とプロパティを削除します。

監査エントリ アクセス 適用先
Windows Server 2003 Windows Server 2008 以降
コンテナ
  • すべてのプロパティの書き込み
  • 削除
  • アクセス許可の変更
 コンテナオブジェクト 子 コンテナオブジェクト
active-directory-audit-to-audit-container-objects

パスワード設定オブジェクトの監査の構成

  1. ファイル名を指定して実行(Windowsキー+R)の画面で adsiedit.msc と入力して Enter を押します。
  2. ADSI エディターの左画面にある "ADSI エディター" で右クリックし、 "接続..." を選択します。
  3. "接続ポイント" → "既知の名前付けコンテキストを選択する" →"既定の名前付けコンテキスト"を選択します。
  4. ”既定の名前付けコンテキスト”をクリックします。
  5. 項目”ドメイン”を展開します。
  6. 項目”CN=System”を展開します。
  7. ”CN=Password Settings Container”を右クリックして、”プロパティ”をクリックします。
  8. ”セキュリティ”タブをクリックして、”詳細設定”を選択します。
  9. ”監査”タブを選択して、”追加”をクリックします。プリンシパルに「Everyone」、監査タイプに「成功」を選択し、以下の表を参照して必要な監査エントリを設定してください。
監査エントリ番号 監査エントリ アクセス 適用先
Windows Server 2003 Windows Server 2008 以降
1&2 パスワード設定のコンテナ
  • msDS-PasswordSettings オブジェクトの作成
  • msDS-PasswordSetting オブジェクトの削除
 適用負荷 このオブジェクトとすべての子オブジェクト
  • すべてのプロパティの書き込む
  • 削除
  • アクセス許可を変更
 適用負荷 子 msDS-PasswordSettings オブジェクト
active-directory-audit-configuring-auditing-for-password-setting-objects

画像表示: 監査エントリ番号 1。

両方の監査エントリを有効にする必要があります。

設定オブジェクトおよびスキーマオブジェクト監査の構成

  • ファイル名を指定して実行(Windowsキー+R)の画面で adsiedit.msc と入力して Enter を押します。
  • ADSI エディターの左画面にある "ADSI エディター" で右クリックし、 "接続..." を選択します。
  • 接続ポイント" → "既知の名前付けコンテキストを選択する" を選択し、"構成" を選択します。(スキーマSACLを設定する場合は"スキーマ"を選択します)
  • 左側の"構成"をダブルクリックします。(スキーマの場合は"スキーマ"をダブルクリックします)
  • 構成コンテキスト(スキーマ コンテキスト)を右クリックし、"プロパティ"を選択します。開いたウインドウで"セキュリティ"タブを開きます。
  • "詳細設定"をクリックし、"監査"タブを開きます。
  • プリンシパルに「Everyone」、監査タイプに「成功」を選択し、以下の表を参照して必要な監査エントリを設定してください。

適切な権限を選択する前に、[すべてクリア]を使用してすべての権限とプロパティを削除します。

設定オブジェクトの監査は、以下の表をご参照ください。

監査エントリ アクセス 適用先
Windows Server 2003 Windows Server 2008 以降
設定
  • すべての子オブジェクトの作成
  • すべてのプロパティの書き込み
  • すべての子オブジェクトの削除
  • 削除
  • アクセス許可を変更
  • すべての拡張権利
 このオブジェクトとすべての子オブジェクト このオブジェクトとすべての子オブジェクト
active-directory-audit-configuring-auditing-for-configuration-objects

スキーマオブジェクトの監査は、以下の表をご参照ください。

監査エントリ アクセス 適用先
Windows Server 2003 Windows Server 2008 以降
スキーマ
  • すべての子オブジェクトの作成
  • すべてのプロパティの書き込み
  • すべての子オブジェクトの削除
  • 削除
  • アクセス許可を変更
  • すべての拡張権利
 このオブジェクトとすべての子オブジェクト このオブジェクトとすべての子オブジェクト
active-directory-audit-configuring-auditing-for-schema-objects

DNS オブジェクトの監査の構成

  1. ファイル名を指定して実行(Windowsキー+R)の画面で adsiedit.msc と入力して Enter を押します。
  2. ADSI エディターの左画面にある "ADSI エディター" で右クリックし、 "接続..." を選択します。
  3. 接続ポイントの下 --> 選択あるいは入力
    1. (ドメイン名がadap.internal.comの場合)ゾーンがデフォルト ドメイン パーティションに保存されている場合は、DC=adap, DC=internal, DC=com と入力します。(このパーティションは一般的にはデフォルトでADSIエディタに読み込まれます)
    2. ゾーンが DomainDNSZones パーティションに保存されている場合は、DC=DomainDNSZones, DC=adap, DC=internal, DC=com と入力します。
    3. ゾーンが ForestDNSZones パーティションに保存されている場合は、DC=ForestDNSZones, DC=adap, DC=internal, DC=com と入力します。
      4. active-directory-audit-configuring-auditing-for-dns-objects
    4. 左側の"既定の名前付けコンテキスト"をダブルクリックします。
    5. MicrosoftDNSコンテナを右クリックし、"プロパティ"を選択します。開いたウインドウで"セキュリティ"タブを開きます。
      6. dns-domain-zone
    6. "詳細設定"をクリックし、"監査"タブを開きます。
    7. プリンシパルに「Everyone」、監査タイプに「成功」を選択し、以下の表を参照して必要な監査エントリを設定してください。
      8. dns-auditing-entry

      注記:適切な権限を選択する前に、[すべてクリア] を使用してすべての権限とプロパティを削除します。

    監査エントリ番号 監査エントリ アクセス 適用先
    Windows Server 2003 Windows Server 2008 以降
    1&2 DNSゾーン
    • DNS ゾーン オブジェクトの作成
    • DNS ゾーン オブジェクトの削除
    		 このオブジェクトとすべての子オブジェクト このオブジェクトとすべての子オブジェクト
    • すべてのプロパティの書き込み
    • 削除
    • アクセス許可を変更
    		 DNS ゾーン オブジェクト 子 DNS ゾーン オブジェクト
    3&4 DNSノード
    • DNS ノード オブジェクトの作成
    • DNS ノード オブジェクトの削除
    		 このオブジェクトとすべての子オブジェクト このオブジェクトとすべての子オブジェクト
    • すべてのプロパティの書き込み
    • 削除
    • アクセス許可を変更
    		 DNS ノード オブジェクト 子 DNS ノード オブジェクト

    残り2つのデフォルトネーミングコンテキストに対しても、上記設定手順を実施します。

    dns-forest-zone