Windows Server 2008におけるActive Directoryの機能強化：監査ポリシー

Windows Server 2008では、Active Directoryオブジェクトとその属性が変更されたときに新しいサブクラスの監査ポリシー（ディレクトリサービスの変更）を使用して新旧の属性値を記録することでAD DS監査を確立できるようになりました。

監査ポリシーに対する変更は、Active Directoryライトウェイトディレクトリサービス（AD LDS）にも適用できます。

AD DSの監査でできることは何ですか。

グローバル監査ポリシーディレクトリサービスイベントの監査が有効か無効かに関係なく、ディレクトリサービスへのアクセス制御を監査します。このセキュリティ設定は、特定の操作がディレクトリオブジェクトに適用されたときにイベントがセキュリティログに記録されるようにします。オブジェクトのシステムアクセス制御リスト（SACL）を変更して、どの操作を監査するかを制御できます。このポリシーは、Windows Server 2008ではデフォルトで有効になっています。

（既定のドメインコントローラセキュリティポリシーを変更することによって）このポリシー設定を定義できます。監査成功イベント、失敗イベント、または何も指定できません。システムアクセス制御リストは、AD DSオブジェクトの[プロパティ]ダイアログボックスの[セキュリティ]タブで設定できます。ディレクトリサービスの監査についても同じことが言えます。ただし、ファイルオブジェクトやレジストリオブジェクトではなくAD DSオブジェクトでのみ機能します。

既存の機能はどうなりましたか？

Windows Server 2008では、属性の変更に成功したときに、プロパティの新旧の値に対するAD DS監査ポリシーの記録が追加されました。以前のAD DS監査ポリシーでは、変更された属性名のみが記録され、以前の属性値と現在の属性値は記録されませんでした。

AD DSアクセスの監査

監査ディレクトリサービスイベントを有効にするか無効にするかを制御するための監査ポリシー（ディレクトリサービスアクセス監査）は、Windows 2000 ServerおよびWindows Server 2003に1つだけあります。 Windows Server 2008では、このポリシーは4つのサブクラスに分かれています。

ディレクトリサービスへのアクセス

ディレクトリサービスへの変更

ディレクトリサービスディレクトリサービスのレプリケーション

詳細なディレクトリサービスのレプリケーション

新しい監査サブクラス（ディレクトリサービスの変更）が原因で、AD DSオブジェクトのプロパティを変更することができます。レビュー確認できる変更の種類は、作成、変更、移動、および削除の取り消しです。これらのイベントはセキュリティログに記録されます。

AD DSの新しい監査ポリシーサブクラス（ディレクトリサービスの変更）に次の機能が追加されました。

オブジェクトに対する属性の変更が成功すると、AD DSは前の属性を記録します。値と現在の属性値属性に複数の値が含まれている場合、変更操作の結果として変更された値のみがログに記録されます。

新しいオブジェクトが作成されると、属性に割り当てられた時間が記録され、属性値がログに記録されますほとんどの場合、AD DSはsAMAccountNameなどのシステム属性に既定の属性を割り当てます。システムプロパティ値は記録されません。

オブジェクトが同じドメインに移動された場合、以前と新しい場所（識別名の形式[cn = anna、ou = test、dc = contoso、dc = com]など）になります。記録されました。オブジェクトが別のドメインに移動されると、ターゲットドメインのドメインコントローラで作成イベントが生成されます。

オブジェクトが削除されていない場合、そのオブジェクトが移動された場所が記録されます。さらに、削除操作で属性が追加、変更、または削除されると、これらの属性の値も記録されます。

注：オブジェクトが削除された場合、監査イベントは生成されません。ただし、ディレクトリサービスアクセスの監査サブクラスが有効になっている場合は、監査イベントが作成されます。

ディレクトリサービスの変更が有効になっている場合、オブジェクトの属の変更が管理者の指定した監査基準を満たすと、AD DSはセキュリティログにイベントを記録します。以下の表は、これらのイベントについて説明しています。

イベント番号イベントタイプ

イベントの説明

5136ディレクトリオブジェクトの属性が正常に変更されたため、このイベントを変更します。

5137新しいイベントからこのイベントを作成します。ディレクトリオブジェクトが作成されました

5138削除取り消しこのイベントは、ディレクトリオブジェクトが削除解除されたときに生成されます。

5139オブジェクトが同じドメイン内で移動したときに発生します。手順

このセクションでは、次の2つの手順について説明します。

手順1：監査ポリシーを有効にする

手順2：Active Directoryユーザーとコンピュータを使用してオブジェクトを渡す方法を説明するオブジェクト監査を有効にするためのSACL。

手順1：監査ポリシーを有効にする

この手順では、監査を有効にするためにグラフィカルインターフェイスとコマンドラインを使用します。

デフォルトでは、グループポリシー管理はインストールされていませんので、サーバー管理の機能の追加からインストールできます。コマンドラインツールのAuditpolを使用すると、スタンドアロンサブプロジェクトを有効にできます。

グラフィカルインターフェイスによるグローバル監査ポリシーの有効化

1.スタートボタンをクリックし、管理ツールをポイントしてからグループポリシー管理をポイントします。

2.コンソールツリーで、フォレスト名をダブルクリックし、ドメインをダブルクリックし、ドメイン名をダブルクリックし、ドメインコントローラをダブルクリックし、既定のドメインコントローラポリシーを右クリックして[編集]をクリックします。

3. [コンピュータの構成]の下の[Windowsの設定]、[セキュリティの設定]、[ローカルポリシー]、[監査ポリシー]の順にダブルクリックします。

4. [監査ポリシー]で、[ディレクトリサービスアクセスの監査]を右クリックします。次に、プロパティをクリックします。

5.これらのポリシーを定義するチェックボックスをオンにします。

6.成功チェックボックスをオンにして、OKをクリックします。

コマンドラインツールAuditpolによる監査の有効化ポリシー

1.スタートボタンをクリックし、コマンドプロンプトを右クリックして、管理者として実行をクリックします。

2.次のコマンドを入力して、Enterキーを押します。

auditpol /設定/サブカテゴリ： "ディレクトリサービスの変更" /success：enable

手順2：オブジェクトのSACL一覧に監査ポリシーを作成する
1. [スタート]ボタンをクリックし、[管理ツール]をポイントして、[Active Directoryユーザー]をクリックします。コンピュータの場合2.監査する組織単位（OU）またはその他の有効にするオブジェクトを右クリックし、次に単価属性をクリックします。3.単価セキュリティタブをクリックし、詳細をクリックしてから監査タブをクリックします。4 「追加」をクリックして入力オブジェクト名のペアを選択しますボックス、タイプ認証されたユーザー（または他のセキュリティプリンシパル）、[OK]をクリックします。 5. [適用先]ドロップダウンボックスで、[子孫ユーザー]オブジェクトまたはその他のオブジェクトを選択します。6 [アクセス]の[すべての属性を書き込む]チェックボックスをオンにします7オブジェクトのプロパティページが完全に閉じるまで[OK]をクリックします。