ADオブジェクトのSACL設定

1. GPO/OU
2. 拡張属性の変更
3. アクセス許可の変更

この作業を行うためには、Active Directoryの"Domain Admins"あるいは"Enterprise Admins"に属したユーザ、あるいはそれに相当した権限が委任されているユーザが必要です。

以下はADオブジェクトに対するSACLsの設定方法を説明します。

1. 設定を行うため”Active Directoryユーザーとコンピューター”(dsa.msc)をクリックしてください。
1. OU
2. GPO
3. 複数のユーザー
4. 複数のグループ
5. 複数のコンピューター
6. コンタクト
2. 設定を行うためには”ADSIEDIT”（adsiedit.msc）を使用します。
1. コンテナ
2. PasswordSettings オブジェクト
3. 設定
4. スキーマ
5. DNSオブジェクト

1.SACLの設定手順（監査対象： 組織単位（OU）/GPO/ユーザー/グループ/コンピューター/連絡先）

1. "Active Directory ユーザーとコンピューター"を開きます。
1. （"スタート" → "コントロール パネル" → "管理ツール" → "Active Directory ユーザーとコンピューター "）
2. メニューの "表示" → "拡張機能" にチェックが入っていることを確認します。入っていなければ選択してチェックを入れます。 これにチェックが入っていると、オブジェクトの拡張セキュリティ設定にアクセスすることができます。
3. 左側のツリーの中のドメイン名の上で右クリックします。
4. "プロパティ"を選択し、"セキュリティ"タブをクリックします。
5. "詳細設定"をクリックし、セキュリティの詳細設定を開きます。
6. "監査"タブをクリックし、"追加"をクリックしてセキュリティ ポリシーを適用する対象のセキュリティ プリンシパルを追加します（ここでは Everyone を対象とします）。"OK"をクリックします。
7. 以下の表を参照し、必要な監査エントリを設定してください。

groupPolicyContainerオブジェクトに対するSACL設定

トップ

groupPolicy Containerについて説明した方法と同じ手順で、ほかのオブジェクトについても進めてください。以下は様々なActive Directoryのオブジェクトに対する"アクセス" と "適応先"の詳細テーブルです。

トップ

2.SACLの設定方法 - コンテナ/パスワード/オブジェクトの設定/設定/スキーマ/DNSオブジェクト

1. 全てのコンテナに対する監査エントリ

SACLの設定手順 - コンテナ

1. ファイル名を指定して実行（Windowsキー＋R）の画面で adsiedit.msc と入力して Enter を押します。
2. ADSI エディターの左画面にある "ADSI エディター" で右クリックし、 "接続..." を選択します。
3. "接続ポイント" → "既知の名前付けコンテキストを選択する" →"既定の名前付けコンテキスト"を選択します。
4. ”既定の名前付けコンテキスト”をクリックします。
5. ”ドメインの識別名”を右クリックし、プロパティ-->セキュリティを選択します。
6. "詳細設定"をクリックし、"監査"タブを開きます。
7. 以下の表を参照し、必要な監査エントリを設定してください。

2. パスワード設定オブジェクトの監査エントリ

SACLの設定手順（監査対象： パスワード設定オブジェクト）

1. ファイル名を指定して実行（Windowsキー＋R）の画面で adsiedit.msc と入力して Enter を押します。
2. ADSI エディターの左画面にある "ADSI エディター" で右クリックし、 "接続..." を選択します。
3. "接続ポイント" → "既知の名前付けコンテキストを選択する" →"既定の名前付けコンテキスト"を選択します。
4. ”既定の名前付けコンテキスト”をクリックします。
5. 項目”ドメイン”を展開します。
6. 項目”CN=System”を展開します。
7. ”CN＝Password Settings Container”を右クリックして、”プロパティ”をクリックします。
8. ”セキュリティ”タブをクリックして、”詳細設定”を選択します。
9. ”監査”タブを選択して、”追加”をクリックします。以下の表を参照し、必要な監査エントリを設定してください。

3. 全ての設定/スキーマの監査エントリ

SACLの設定手順（監査対象： 構成/スキーマ）

1. ファイル名を指定して実行（Windowsキー＋R）の画面で adsiedit.msc と入力して Enter を押します。
2. ADSI エディターの左画面にある "ADSI エディター" で右クリックし、 "接続..." を選択します。
3. 接続ポイント" → "既知の名前付けコンテキストを選択する" を選択し、"構成" を選択します。（スキーマSACLを設定する場合は"スキーマ"を選択します）
4. 左側の"構成"をダブルクリックします。（スキーマの場合は"スキーマ"をダブルクリックします）
5. 構成コンテキスト（スキーマ コンテキスト）を右クリックし、"プロパティ"を選択します。開いたウインドウで"セキュリティ"タブを開きます。
6. "詳細設定"をクリックし、"監査"タブを開きます。
7. 以下の表を参照し、必要な監査エントリを設定してください。

3. AD構成オブジェクトの監査エントリ

4. ADスキーマ オブジェクトの監査エントリ

5. DNSオブジェクトの監査エントリ

SACLの設定手順（監査対象： DNSオブジェクト）

1. ファイル名を指定して実行（Windowsキー＋R）の画面で adsiedit.msc と入力して Enter を押します。
2. ADSI エディターの左画面にある "ADSI エディター" で右クリックし、 "接続..." を選択します。
3. 接続ポイントの下 --> 選択あるいは入力
1. （ドメイン名がadap.internal.comの場合）ゾーンがデフォルト ドメイン パーティションに保存されている場合は、DC=adap, DC=internal, DC=com と入力します。（このパーティションは一般的にはデフォルトでADSIエディタに読み込まれます）
2. ゾーンが DomainDNSZones パーティションに保存されている場合は、DC=DomainDNSZones, DC=adap, DC=internal, DC=com と入力します。
3. ゾーンが ForestDNSZones パーティションに保存されている場合は、DC=ForestDNSZones, DC=adap, DC=internal, DC=com と入力します。
4. 左側の"既定の名前付けコンテキスト"をダブルクリックします。
5. MicrosoftDNSコンテナを右クリックし、"プロパティ"を選択します。開いたウインドウで"セキュリティ"タブを開きます。
6. "詳細設定"をクリックし、"監査"タブを開きます。
7. 以下の表を参照し、必要な監査エントリを設定してください。

上記SACL設定を、他2つのデフォルトネーミングコンテキストに対しても実施してください。