監査ポリシーを手動で構成

監査対象の Windows サーバーのリストを構成

  1. ドメインコントローラーにDomain Adminsアカウントでログイン → [Active Directoryユーザーとコンピューター]を開く → 対象ドメインを右クリック → 新規作成 → グループ → 任意の名前(「ADAuditPlusMS」など)を入力
  2. [グループスコープ:ドメインローカル]および[グループ タイプ:セキュリティ]を確認します。[OK]をクリックします。
  3. 新しく作成したグループを右クリックし、プロパティ → メンバー → 監査対象のファイルサーバーをすべて追加→[OK]をクリックします。
  4. GPMC(グループ ポリシー管理コンソール)を開きます。
  5. グループポリシーを新規作成します。名前を"ADAuditPlusMSPolicy"と入力します。
  6. ポリシー"ADAuditPlusMSPolicy"を監査対象ドメインにリンクします(ドメインを右クリック → 「既存のGPOのリンク」 → "ADAuditPlusMSPolicy"を選択)。
  7. ADAuditPlusMSPolicyを選択します。セキュリティフィルター処理で、[Authenticated Users]を選択します。[削除]をクリックします。[OK] を選択します。
  8. ADAuditPlusMSPolicyを選択します。セキュリティフィルター処理[追加]をクリックし、作成したセキュリティグループ(ADAuditPlusMS)を選択します。[OK]をクリックします。
    9. [管理者]タブの[一般設定]

監査ポリシーの詳細な構成

監査ポリシーの詳細な構成により、どのアクティビティをログに記録するかをきめ細かく制御できます。

  1. 監査ポリシーの詳細な構成を設定するためには、作成したポリシー<ADAuditPlusMSPolicy>を編集します。
  2. コンピューターの構成→ポリシー→Windows の設定→セキュリティの設定→監査ポリシーの詳細な構成→監査ポリシーに移動し、以下を設定します。
カテゴリ サブカテゴリ 監査イベント
アカウント管理
  • コンピュータアカウント管理の監査
  • 配布グループ管理の監査
  • セキュリティグループ管理の監査
  • ユーザーアカウント管理の監査
成功
成功と失敗
詳細追跡
  • プロセス作成の監査
  • プロセス終了の監査
 成功
DS アクセス
  • ディレクトリサービスの変更の監査 
  • ディレクトリサービスアクセスの監査
 成功
ログオン/ログオフ
  • ログオンの監査
  • ネットワークポリシーサーバーの監査
  • その他のログオン/ログオフ イベントの監査
  • ログオフの監査
成功と失敗
成功
オブジェクト アクセス
  • ファイルシステムの監査
  • ハンドル操作の監査
  • ファイル共有の監査
 成功と失敗
ポリシーの変更
  • 認証ポリシーの変更の監査
  • 認可ポリシーの変更の監査
 成功
システム
  • セキュリティ状態の変更の監査
 成功

監査ポリシーの詳細な構成を強制

[監査ポリシーの詳細な構成]を従来の[監査ポリシー]より優先させるため、[コンピューターの構成]→[ポリシー]→[Windows の設定]→[セキュリティの設定]→[ローカルポリシー]→[セキュリティオプション]に移動後、[監査: 監査ポリシー サブカテゴリの設定(Windows Vista 以降)を強制して、監査ポリシー サブカテゴリの設定を上書きする]のポリシーが”有効”であることを確認します。

[管理者]タブの[一般設定]