AD、Windows サーバー、およびワークステーションの監査に必要な権限

概要

ADAuditPlusは、ドメイン管理者(Domain Admins)の認証情報を「ドメイン設定」ページで設定することで、すぐに監査アクティビティを開始します。ドメイン管理者の認証情報を提供したくない場合は、本ガイドに記載されている手順にしたがって、監査に必要な最小限の権限を持つようアカウントを設定してください。

注記:ADAudit Plus で複数のドメインを構成する場合は、個々のドメインごとに個別のサービス アカウントを作成することをおすすめします。

新しいユーザー、グループ、およびGPOの作成

新しいユーザーを作成する

  • ドメイン管理者権限でドメイン コントローラにログイン → [Active Directory ユーザーとコンピュータ] を開く → ドメインを右クリック → [新規作成] → [ユーザー] → ユーザーに「ADAudit Plus」という名前を付けます。

新しいグループを作成する

  • ドメイン管理者権限でドメイン コントローラにログイン → [Active Directory ユーザーとコンピュータ] を開く → ドメインを右クリック → [新規作成] → [グループ] → グループに「ADAudit Plus Permission Group」という名前を付けます。
  • 次の手順で、監査対象のすべてのコンピュータを[ADAudit Plus Permission Group]のメンバーとして追加します。[ADAudit Plus Permission Group]を右クリック → [プロパティ] → [メンバー]→ 監査するすべてのドメイン コントローラ、Windowsサーバー、およびワークステーションを追加します。

新しいドメインレベルの GPO を作成し、監査対象のすべてのコンピュータにリンク

ドメインレベルのGPOが作成し、すべての監視対象コンピュータに適用します。

  • ドメイン管理者権限でドメインコントローラにログインします。
  • 新しいドメインレベルのGPOを作成します:

    • グループ ポリシー管理コンソールを開き → GPOを適用するドメインを右クリック → このドメインにGPOを作成し、ここにリンクします → 「ADAudit Plus Permission GPO」という名前を付けます。

  • Authenticated Usersグループのアクセス許可を削除します。

    • [ADAudit Plus Permission GPO]をクリック → 右側のパネルに移動し、[委任]タブをクリック → [詳細] → [Authenticated Users]をクリック → [グループポリシーの適用]権限を削除します。

  • [ADAudit Plus Permission Group]を[ADAudit Plus Permission GPO]のセキュリティフィルター設定に追加します:

    • グループ ポリシー管理コンソールを開き、→ ドメイン → 「ADAudit Plus Permission GPO(新規作成したGPO)」 を選択 → 右側のパネルに移動し、[委任] タブをクリック → [詳細] → 「ADAudit Plus Permission Group(新規作成したグループ)」 を追加します。

active-directory-audit-privileges-permissions-required-for-event-log-collection

イベントログの収集に必要な特権/アクセス許可

ユーザーに監査とセキュリティ ログの管理権限を付与

監査とセキュリティログの管理権限により、ユーザーはオブジェクトレベルの監査を定義できます。

  • ドメイン管理者権限でドメイン コントローラにログイン → グループ ポリシー管理コンソールを開く → [ADAudit Plus Permission GPO]を右クリック → 編集
  • グループ ポリシー管理エディター → [コンピュータの構成] → [ポリシー] → [Windows の設定] → [セキュリティの設定] → [ローカル ポリシー] → [ユーザー権利の割り当て]
  • 右側のパネルに移動し、[監査とセキュリティ ログの管理]を右クリック → [プロパティ] → [ADAudit Plus]ユーザーを追加します。
active-directory-audit-privileges-permissions-required-for-event-log-collection

ユーザーをEvent Log Readersグループのメンバーにする

イベントログリーダーグループのメンバーは、監査対象のすべてのコンピュータのイベントログを読み取ることができます。

  • ドメインコントローラの場合:

    • ドメイン管理者権限でドメイン コントローラにログイン → [Active Directory ユーザーとコンピュータ] → [Builtin(ビルトイン)] → 右側のパネルに移動し、[Event Log Readers] を右クリック → [プロパティ] → [メンバー] → 「ADAudit Plus」ユーザーを追加します。

    active-directory-audit-privileges-permissions-required-for-event-log-collection
  • 他のコンピュータ(Windowsサーバーおよびワークステーション)の場合:

    • a. ドメイン管理者権限でドメイン コントローラにログイン → グループ ポリシー管理コンソールを開き → 「ADAudit Plus Permission GPO」を右クリック → 編集

    b. グループ ポリシー管理エディター → [コンピュータの構成] → [環境設定] → [コントロール パネルの設定] → [ローカル ユーザーとグループ]を右クリック →[新規] → [ローカル グループ]→ グループ名で[Event Log Readers]グループを選択 → 「ADAudit Plus」ユーザーを追加します。

    active-directory-audit-privileges-permissions-required-for-event-log-collection
注記:イベント ログを読み取るには、「ADAudit Plus」ユーザーに HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security に対する読み取り権限を付与する必要もあります。
  • ドメイン管理者権限でドメイン コントローラにログイン → グループ ポリシー管理コンソールを開く → 「ADAudit Plus Permission GPO」を右クリック → 編集
  • グループ ポリシー管理エディター → [コンピュータの構成] → [ポリシー] → [Windows の設定] → [セキュリティの設定] → [レジストリ] を右クリック → キーを追加します。
  • [レジストリ キーの選択]ウィンドウで、[マシン] → [システム] → [CurrentControlSet] → [サービス] → [イベントログ] → [セキュリティ] → [OK] をクリック → 「ADAudit Plus」ユーザーに読み取り権限を付与 → [適用]をクリックします。
  • [オブジェクトの追加] ウィンドウで、[このキーを構成する] を選択し、→ すべてのサブキーの既存のアクセス許可を継承可能なアクセス許可で置き換える[OK] をクリックします。

自動監査ポリシーおよびオブジェクトレベルの監査構成に必要な特権/アクセス許可

ドメイン コントローラの監査構成に必要な特権/アクセス許可

サービスアカウントに次の権限/アクセス許可を付与すると、ADAudit Plusは必要な監査ポリシーと環境内のオブジェクトレベルの監査設定を自動的に構成できます。ADAudit Plusは、GPO経由で必要な設定を、監視対象のすべてのコンピュータを含むグループにプッシュすることでこれを行います。

  • ドメイン管理者権限でドメイン コントローラにログイン → グループ ポリシー管理コンソールを開く → [Default Domain Domain Controllers Policy] をクリック → 右側のパネルに移動して [委任] タブをクリック → 「ADAudit Plus」ユーザーを追加 → 設定を編集する権限を付与します。
    active-directory-audit-privileges-permissions-required-for-event-log-collection

メンバーサーバー、ワークステーション、およびファイルサーバーの監査構成に必要な特権/アクセス許可

ユーザーをGroup Policy Creator Ownersグループのメンバーにする

  • ドメイン管理者権限でドメイン コントローラにログイン → [Active Directory ユーザーとコンピュータ] を開く → [Users] をクリック → 右側のパネルに移動し、[Group Policy Creator Owners] グループを右クリック → 「ADAudit Plus」ユーザーをメンバーとして追加します。
    active-directory-audit-privileges-permissions-required-for-event-log-collection

ユーザーにグループ管理許可を付与

  • ドメイン管理者権限でドメイン コントローラにログイン → [Active Directory ユーザーとコンピュータ] を開きます。

    [表示]をクリックして、高度な機能が有効になっていることを確認します。これにより、[Active Directory ユーザーとコンピュータ] で選択したオブジェクトの詳細なセキュリティ設定が表示されます。

  • [Users]を右クリック →[プロパティ] → [セキュリティ] → [詳細] → [権限] → [追加] → [ユーザーの権限エントリ]ウィンドウでプリンシパル(「ADAudit Plus」ユーザー)を選択 → タイプ:許可 → 適用先:このオブジェクトとすべての子孫オブジェクト → [グループオブジェクト作成]および[グループオブジェクト削除]権限を選択

    注記:上記のアクセス許可を選択する前に、すべてクリアを使用してすべての権限とプロパティを削除します。

    active-directory-audit-privileges-permissions-required-for-event-log-collection
  • Active Directory ユーザーとコンピュータ コンソールから → [Users]を右クリック → プロパティ → セキュリティ → 詳細 → アクセス許可 → 追加 → ユーザーのアクセス許可エントリ ウィンドウで → プリンシパル(「ADAudit Plus」ユーザー)を選択 → タイプ: 許可 → 適用先: 子孫グループ オブジェクト → プロパティ[書き込みメンバー]を選択

    • 注記:上記のプロパティを選択する前に、すべてクリアを使用してすべてのアクセス許可とプロパティを削除します。

    active-directory-audit-privileges-permissions-required-for-event-log-collection