Windows Server 2008より監査ポリシーの1つである「ディレクトリサービスのアクセス監査」がより細かく設定できるようになりました。
この監査ポリシーを利用することによってユーザーのADへのアクセスを記録することができます。
さらに「ディレクトリサービスのアクセス監査」は4つのサブカテゴリに分かれ、イベントログには変更前と変更後の値が記載されます。
例えばサブカテゴリの1つである「ディレクトリサービスの変更」ではADオブジェクトの作成、変更、削除、移動を記録することができます。
では、能書きはこれぐらいにして手順を
Default Domain Policyを編集します。
コンピューターの構成→ポリシー→Windowsの設定→セキュリティの設定→ローカルポリシー→監査ポリシーを選択
ディレクトリサービスのアクセスの監査をクリックします。
「これらのポリシーの設定を定義する」をチェックしたら、記録したい監査をチェックします。成功の監査を有効にしたい場合は成功をチェック、失敗の監査を記録したい場合は失敗をチェックします。
監査したOUのプロパティを開きます。
セキュリティタブで詳細設定ボタンをクリックします。
監査したいユーザーを選択します。
Everyoneを選択することも可能です。
監査したいアクセスを選択します。
auditpolコマンドを実行して、監査したいサブカテゴリを有効にします。
全てを設定後、ユーザーを監査対象のOUに移動した時の監査ログです。
ユーザ名、移動元OU、移動先OUが表示されています。
この監査ポリシーを利用することによってユーザーのADへのアクセスを記録することができます。
さらに「ディレクトリサービスのアクセス監査」は4つのサブカテゴリに分かれ、イベントログには変更前と変更後の値が記載されます。
例えばサブカテゴリの1つである「ディレクトリサービスの変更」ではADオブジェクトの作成、変更、削除、移動を記録することができます。
では、能書きはこれぐらいにして手順を
Default Domain Policyを編集します。
コンピューターの構成→ポリシー→Windowsの設定→セキュリティの設定→ローカルポリシー→監査ポリシーを選択
ディレクトリサービスのアクセスの監査をクリックします。
「これらのポリシーの設定を定義する」をチェックしたら、記録したい監査をチェックします。成功の監査を有効にしたい場合は成功をチェック、失敗の監査を記録したい場合は失敗をチェックします。
監査したOUのプロパティを開きます。
セキュリティタブで詳細設定ボタンをクリックします。
監査したいユーザーを選択します。
Everyoneを選択することも可能です。
監査したいアクセスを選択します。
auditpolコマンドを実行して、監査したいサブカテゴリを有効にします。
全てを設定後、ユーザーを監査対象のOUに移動した時の監査ログです。
ユーザ名、移動元OU、移動先OUが表示されています。
コメント