マイクロソフト サーバー製品の...
TRANSCRIPT
[Active Directory 上の各種操作における監査]
ホワイトペーパー
発行日 : 2007 年 6月 12日
最新の情報 http://www.microsoft.com/ja/jp/
マイクロソフト サーバー製品のログ監査ガイド
2 マイクロソフト サーバー製品のログ監査ガイド
注意事項:
マイクロソフト(米国 Microsoft Corporation、及び同社が直接または間
接に所有する法人を含みます。以下同じ。)は、本書の内容及び本書を
使用した結 果について明示的にも黙示的にも一切の保証を行いません。
また、マイクロソフトは、本書を使用した結果に関し、(i)金融商品取引
法、税法その他関係法令の遵守、(ii)その正確性、完全性及びその他の一
切について、当該利用者及びその組織に対し、直接間接を問わず、いか
なる責任も負担するものではありません。
お客様ご自身の責任において、 適用されるすべての著作権関連法規に従
ったご使用を願います。このドキュメントのいかなる部分も、米国
Microsoft Corporation の書面による許諾を受けることなく、その目的を
問わず、どのような形態であっても、複製または譲渡することは禁じら
れています。 ここでいう形態とは、複写や記録など、電子的な、または
物理的なすべての手段を含みます。
ただしこれは、著作権法上のお客様の権利を制限するものではありませ
ん。 マイクロソフトは、このドキュメントに記載されている内容に関し、
特許、特許申請、商標、著作権、またはその他の無体財産権を有する場
合があります。別途マイクロソフトのライセンス契約上に明示の規定の
ない限り、このドキュメントはこれらの特許、商標、著作権、またはそ
の他の知的財産に関する権利をお客様に許諾するものではありません。
© 2007 Microsoft Corporation. All rights reserved.
Microsoft、Windows、 Windows ロゴ、および Windows Server は米国
Microsoft Corporation の米国またはその他の国における登録商標または
商標です。
このドキュメントに記載されている会社名、製品名には、各社の商標を
含むものもあります。
本書で使用した環境は次のとおりです。
・Windows Server 2003 R2, Standard Edition
3
はじめに .................................................................................................................................................. 5
ドキュメント構成 .................................................................................................................................. 6
概要 .......................................................................................................................................................... 7
監査設定及び監査手順 .......................................................................................................................... 8
監査設定の確認 /追加 ...................................................................................... 8 ドメイン コントローラ セキュリティ ポリシーの確認 ....................................................................... 8 監査ポリシーの設定(グループ ポリシー) ............................................................................... 10 監査ポリシーの設定(ローカル セキュリティ ポリシー) .............................................................. 12 監査エントリの追加 ............................................................................................................... 14
ユーザーに関する操作..................................................................................... 18 ユーザーの作成 ................................................................................................................... 18 ユーザーの削除 ................................................................................................................... 19 ユーザーの無効化 ................................................................................................................ 20 ユーザーの有効化 ................................................................................................................ 21 パスワード リセット ................................................................................................................. 22 ドメインへのログオン .............................................................................................................. 23 ドメインからのログオフ ........................................................................................................... 24
セキュリティ グループに関する操作 ...................................................................... 27 ドメイン ローカル セキュリティ グループの作成 ........................................................................ 27 ドメイン ローカル セキュリティ グループの削除 ........................................................................ 28 ドメイン ローカル セキュリティ グループへのメンバ追加 ........................................................... 29 ドメイン ローカル セキュリティ グループからのメンバ削除 ......................................................... 30 ドメイン ローカル セキュリティ グループの管理者の変更 .......................................................... 32 ドメイン ローカル セキュリティ グループのアカウント名の変更 .................................................. 33 グローバル セキュリティ グループの作成 ................................................................................ 34 グローバル セキュリティ グループの削除 ................................................................................ 35 グローバル セキュリティ グループへのメンバ追加.................................................................... 36 グローバル セキュリティ グループからのメンバ削除 ................................................................. 37 グローバル セキュリティ グループの管理者の変更 .................................................................. 38 グローバル セキュリティ グループのアカウント名の変更 ........................................................... 40
Administrators, Domain Admins, Enterprise Adminsセキュリティ グループに関する操作
............................................................................................................... 42 Administratorsセキュリティ グループへのメンバ追加 ........................................................... 42 Administratorsセキュリティ グループからのメンバ削除 ........................................................ 43 Administratorsセキュリティ グループの管理者の変更 ......................................................... 45 Domain Admins, Enterprise Adminsセキュリティ グループへのメンバ追加 ........................ 46 Domain Admins, Enterprise Adminsセキュリティ グループからのメンバ削除 ...................... 47 Domain Admins, Enterprise Adminsセキュリティ グループの管理者の変更 ....................... 49 Domain Admins, Enterprise Adminsセキュリティ グループのアカウント名の変更 ................ 50
目次
4 マイクロソフト サーバー製品のログ監査ガイド
グループ ポリシーに関する操作 .......................................................................... 52 グループ ポリシーの内容の変更 ............................................................................................ 52 グループ ポリシーの状態の変更 ............................................................................................ 53 グループ ポリシーの委任の変更 ............................................................................................ 54 グループ ポリシーのスコープ(リンク)の変更 ........................................................................... 56 グループ ポリシーのスコープ(フィルタ)の変更 ....................................................................... 57
取得ログ項目一覧 .......................................................................................... 60 ユーザーに関する操作 ......................................................................................................... 60 セキュリティ グループに関する操作 ........................................................................................ 65 Administrators, Domain Admins, Enterprise Adminsセキュリティ グループに関する操作 72 グループ ポリシーに関する操作 ............................................................................................ 77
注意事項 ................................................................................................................................................ 80
おわりに ................................................................................................................................................ 81
付録 1:イベント ログ一覧 ................................................................................................................ 82
付録 2:関連情報 ................................................................................................................................ 91
ADSI Edit .................................................................................................. 92 Support Toolsのインストール ............................................................................................... 92 ADSI Editを使用したグループ ポリシー表示名の確認 ......................................................... 94
はじめに 5
はじめに このガイドは、マイクロソフトのサーバー製品を利用している企業の IT 担当者が、様々な法令や規制などの遵守にあたり、マイクロソフトのサーバー製品の標準機能を利用したログの収集及び監査について、その手順を記述するものです。
このガイドを利用することで、コンプライアンスにおいて IT 環境を評価する作業を効率化することを目的としています。
現在、経営/事業における IT の位置づけは、ますます重要度を増しつつあります。
金融商品取引法による財務報告の信頼性を確保するための内部統制や、企業にとって重要な資産である個人情報を漏えいしないための統制など、企業において幅広いコンプライアンスと内部統制環境の構築が求められています。
国内だけではなく、現在のグローバルな経営環境においては、国内の法令や規制だけではなく、ビジネスを展開する様々な国や団体の法令や規制に遵守する必要があります。
現在の経営環境において、企業の内外における IT 環境は、ますます重要度を増しており、グローバルなビジネスを展開している企業では、ネットワークは世界中に張り巡らされています。こうした環境においては、一つ一つのコンプライアンスの為の IT 基盤を構築するのではなく、将来のコンプライアンスに備えた IT 統制のプロセスと基盤を構築していく必要があります。
適切な IT 統制を行うためには、システム状態を把握するための管理基盤の確立、システムを利用するユーザーのアクセスコントロールは勿論のこと、不正利用などの有事に備えたログの記録及び監査が必要です。
しかしながら、システムの稼働状態やユーザーの操作について、すべてのログを収集し、内容を確認することは、実際の業務を行う上で現実的とは言えません。監査にかかる経費や人手の問題だけでなく、膨大なログのなかに重要な情報が埋もれてしまう危険性も考えられるためです。
そのような事態を回避するためには、本当に必要なログは何であるのか、またどのような手順でどのような点を確認する必要があるのかについて、明確にしておく必要があります。
6 マイクロソフト サーバー製品のログ監査ガイド
ドキュメント構成 マイクロソフト サーバー製品におけるログ監査ガイドは、マイクロソフト サーバー製品群のログ監査を支援するために、監査が必要となる項目、及び監査手順を提示します。
本ガイドを構成するドキュメントは、次の通りです。
ファイルサーバー上のファイル操作における監査
対象製品:Windows 2000 Server /Windows Server 2003
プログラムファイル、設定ファイル等のローカル ファイル、及びファイルサーバー上のドキュメント等のネットワーク共有されたファイルについて、誰がどのファイルに対してどのような操作を行ったのか監査する手順を示します。
印刷ジョブについての監査
対象製品:Windows 2000 Server /Windows Server 2003
プリントサーバーが管理するプリンタにて、誰がどのようなファイルを印刷したのか監査する手順を示します。
タスクについての監査
対象製品:Windows 2000 Server /Windows Server 2003
タスク スケジューラー、AT コマンドにより、誰がどのようなタスクを登録、または実行したのか監査する手順を示します。
Active Directory 上の各種操作における監査
対象製品:Windows Server 2003
このドキュメントです。
Active Directory 上でどのようなユーザー、グループが作成または削除されたのか、Domain Admins 等の強力な権限を持つセキュリティ グループに対し、どのようなユーザーが追加されたのか、またグループ ポリシーに対してどのような変更が行われたのか監査する手順を示します。
データベースサーバーにおける監査
対象製品:SQL Server 2005
データベースのどのオブジェクトに対し、誰がどのような操作を行ったのか監査する手順を示します。
概要 7
概要 Active Directory には、ユーザー、セキュリティ グループなどのアカウント情報をはじめ、管理者用の強力な権限を持つセキュリティ グループ、グループ ポリシー、共有プリンタ等の重要な情報が保持されています。
ドメイン コントローラは、既定のポリシーによって一般のアカウントのログオンが制限されていますが、それにくわえてログの取得及び監査を行うことで、不正利用を抑止し、また有事への対策強化をはかることができます。
監査対象とする操作の一例を、次に示します。
ユーザーに関する操作
セキュリティ グループに関する操作
Administrators, Domain Admins, Enterprise Admins セキュリティ グループに関する操作
グループ ポリシーに関する操作
また、本書では、監査対象環境の例示として、次の環境を想定します。
8 マイクロソフト サーバー製品のログ監査ガイド
監査設定及び監査手順 Windows Server 2003 では、Active Directory 上の各種操作について、標準のイベント
ログより監査を行うことができます。
本章では、実際の監査設定及び監査手順について記述します。
監査設定の確認 /追加 Active Directory 上の各種操作について監査を行うためには、まず監査ログを出力するための設定を行う必要があります。
監査設定の確認 /追加手順を、次に示します。
ドメイン コントローラ セキュリティ ポリシーの確認
対象製品:Windows Server 2003
Windows Server 2003 Active Directory のドメイン コントローラ セキュリティ ポリシーは、既定で各種操作の成功をセキュリティ ログに出力するよう構成されています。
ただし、ドメイン コントローラ セキュリティポリシーを既定から変更して利用している場合、または操作の成功だけでなく失敗も監査したいという場合には、設定の確認及び追加が必要となります。
設定手順を、次に示します。
1. 管理者アカウントにて、ドメイン コントローラにログオンします。
2. [スタート]メニューより、[すべてのプログラム]-[管理ツール]と展開し、[ドメイン コントローラ セキュリティ ポリシー]をクリックします。
3. [既定のドメイン コントローラ セキュリティの設定]が開いたら、左ペインのツリーより、[セキュリティの設定]-[ローカル ポリシー]と展開して[監査ポリシー]をクリックします。
右ペインにて、次の項目の[ポリシー設定]が、[成功]、または[成功, 失敗]に設定されていることを確認します。
監査設定及び監査手順 9
アカウント ログオン イベントの監査
アカウント管理の監査
システム イベントの監査
ディレクトリ サービスのアクセスの監査
ポリシーの変更の監査
ログオン イベントの監査
4. 前項の項目のうち、1 つまたは複数のポリシーが[監査しない]に設定されていた場合、もしくは[成功]に設定されている項目について、[失敗]も監査するよう設定を変更したい場合には、対象項目をダブルクリックしてプロパティを開きます。
5. 監査のプロパティが開いたら、[これらのポリシーの設定を定義する]のチェックをオンにして、[成功]、または[成功]と[失敗]の両方にチェックを入れ、[OK]
をクリックします。
10 マイクロソフト サーバー製品のログ監査ガイド
6. 任意のポリシーについて、№4~5 の手順を繰り返し、[成功]と[失敗]を監査するよう設定を行います。
以上で、ドメイン コントローラ セキュリティ ポリシーの確認は終了となります。
監査ポリシーの設定(グループ ポリシー)
対象製品:Windows Server 2003
コンピュータのシャットダウンによるユーザーのログオフを監査するためには、監査ポリシーの設定が必要となります。
コンピュータのシャットダウンによるユーザーのログオフの監査に使用するイベント ログは、実際にシャットダウン操作を行ったコンピュータに出力されるため、グループ ポリシー、またはローカル セキュリティ ポリシーにて、監査対象とするすべてのコンピュータにポリシーを適用する必要があります。
ここでは、グループ ポリシーを設定する手順を記述します。
ローカル セキュリティ ポリシーから設定を行いたい場合には、p.12「監査ポリシーの設定(ローカル セキュリティ ポリシー)」を参照して下さい。
設定手順を、次に示します。
監査設定及び監査手順 11
1. 管理者アカウントにて、ドメイン コントローラにログオンします。
2. [スタート]メニューより、[すべてのプログラム]-[管理ツール]と展開し、[Active Directory ユーザーとコンピュータ]をクリックします。
3. [Active Directory ユーザーとコンピュータ]が開いたら、左ペインのツリーより、ポリシーを適用したいドメイン、または OU を右クリックして、[プロパティ]を選択します。
4. プロパティが開いたら、[グループ ポリシー]タブをクリックします。
ここでは、例として、[Default Domain Policy]を編集し、監査ポリシーの設定を行います。
[Default Domain Policy]を選択して、[編集]をクリックします。
12 マイクロソフト サーバー製品のログ監査ガイド
5. [グループ ポリシー オブジェクト エディタ]が開いたら、左ペインのツリーより、[コンピュータの構成]-[Windows の設定]-[セキュリティの設定]-[ローカル ポリシー]と展開し、[監査ポリシー]をクリックし、右ペインの一覧より[システム
イベントの監査]をダブルクリックします。
6. [システム イベントの監査のプロパティ]が開いたら、[成功]、または[成功]と[失敗]の両方のチェックをオンにして、[OK]をクリックします。
以上で、グループ ポリシーの設定は終了となります。
監査ポリシーの設定(ローカル セキュリティ ポリシー)
対象製品:Windows Server 2003
コンピュータのシャットダウンによるユーザーのログオフを監査するための監査ポリシーは、ローカル セキュリティ ポリシーからも設定することができます。
設定手順を、次に示します。
1. 管理者アカウントにて、コンピュータのシャットダウンによるユーザーのログオフを監査するコンピュータにログオンします。
監査設定及び監査手順 13
2. [スタート]メニューより、[すべてのプログラム]-[管理ツール]と展開し、[ローカル セキュリティ ポリシー]をクリックします。
3. [ローカル セキュリティの設定]が開いたら、左ペインのツリーにて、[セキュリティの設定]-[ローカル ポリシー]と展開して、[監査ポリシー]をクリックし、右ペインの一覧より[システム イベントの監査]をダブルクリックします。
4. [システム イベントの監査のプロパティ]が開いたら、[成功]、または[成功]と[失敗]の両方のチェックをオンにして、[OK]をクリックします。
本書では、例として、[成功]のみにチェックを入れます。
以上で、ローカル セキュリティ ポリシーの追加手順は終了となります。
14 マイクロソフト サーバー製品のログ監査ガイド
監査エントリの追加
対象製品:Windows Server 2003
監査ポリシーの設定が完了したら、続いて監査対象とするセキュリティ グループに対して監査エントリの追加を行います。
この手順は、セキュリティ グループの管理者の変更を監査するために必要となります。
監査ポリシーの設定のみでは、セキュリティ グループの管理者の変更に対する監査ログは出力されないことに注意して下さい。
また、本書における「セキュリティ グループの管理者の変更」とは、セキュリティ
グループのプロパティの[管理者]タブにて、[名前]テキストボックスに指定したユーザーを変更し、かつ[管理者がメンバシップ一覧を変更できる]チェックボックスをオンにすることを指します。
[管理者がメンバシップ一覧を変更できる]チェックボックスがオフになっている場合には、[名前]テキストボックスに指定したユーザーに対する権限の変更は行われないため、監査ログは出力されません。
なお、Administrators, Domain Admins, Enterprise Admins セキュリティ グループについては、既定で管理者の変更に対する監査ログが出力されるため、監査エントリの追加を行う必要はありません。
設定手順を、次に示します。
1. 管理者アカウントにて、ドメイン コントローラにログオンします。
2. [スタート]メニューより、[すべてのプログラム]-[管理ツール]と展開し、[Active Directory ユーザーとコンピュータ]をクリックします。
3. [Active Directory ユーザーとコンピュータ]が開いたら、メニューバーにて[表示]
-[拡張機能]をクリックします。
監査設定及び監査手順 15
4. 監査対象とするセキュリティ グループをダブルクリックして、プロパティを開きます。
5. セキュリティ グループのプロパティが開いたら、[セキュリティ]タブにて、[詳細設定]をクリックします。
16 マイクロソフト サーバー製品のログ監査ガイド
6. [セキュリティの詳細設定]が開いたら、[監査]タブにて[追加]をクリックします。
7. [ユーザー、コンピュータまたはグループの選択]が開いたら、監査対象とするユーザーまたはグループを入力して、[OK]をクリックします。
本書では、例として、すべてのユーザーの操作を監査できるよう、”Everyone”
を設定します。
8. [監査エントリ]が開いたら、[プロパティ]タブの[アクセス]リストボックスより、[管理者の書き込み]の[成功]、または[成功]、[失敗]の両方にチェックを入れます。
本書では、例として、[成功]のみにチェックを入れます。
また、[これらの監査エントリを、このコンテナの中にあるオブジェクトやコンテナにのみ適用する]のチェックをオンにして、[OK]をクリックします。
監査設定及び監査手順 17
9. [セキュリティの詳細設定]に戻り、[監査エントリ]リストボックスに追加された設定内容を確認して、[OK]をクリックします。
10. セキュリティ グループのプロパティに戻り、[OK]をクリックします。
以上で、監査エントリの追加手順は終了となります。
18 マイクロソフト サーバー製品のログ監査ガイド
ユーザーに関する操作 本節では、ユーザーに関する操作を監査する手順について記述します。
対象とする操作は、次の通りです。
ユーザーの作成
ユーザーの削除
ユーザーの無効化
ユーザーの有効化
パスワード リセット
ドメインへのログオン
ドメインからのログオフ
なお、次の操作については、p.42「Administrators, Domain Admins, Enterprise Admins
セキュリティ グループに関する操作」の各項を参照して下さい。
Administrators, Domain Admins, Enterprise Admins セキュリティ グループに対するユーザーの追加 /削除
各操作の監査手順について、次に示します。
ユーザーの作成
対象製品:Windows Server 2003
本項では、[Active Directory ユーザーとコンピュータ]管理コンソール、及びスクリプト等からユーザーの作成を行った場合の監査について記述します。
ユーザーの作成が行われると、ドメイン コントローラのセキュリティ イベント ログに、[ID624]イベント ログが出力されます。
[ID624]イベント ログにて確認する項目は、次の通りです。
監査設定及び監査手順 19
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-呼び出し側ユーザー名 /呼び出し側ドメインからも確認できます。
説明-新しいアカウント名:作成されたユーザーのアカウント名
説明-新しいドメイン:ユーザーが作成されたドメイン
以上で、ユーザーの作成の監査は終了となります。
ユーザーの削除
対象製品:Windows Server 2003
本項では、[Active Directory ユーザーとコンピュータ]管理コンソール、及びスクリプト等からユーザーの削除を行った場合の監査について記述します。
ユーザーの削除が行われると、ドメイン コントローラのセキュリティ イベント ログに、[ID630]イベント ログが出力されます。
[ID630]イベント ログにて確認する項目は、次の通りです。
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-呼び出し側ユーザー名 /呼び出し側ドメインからも確認できます。
説明-対象アカウント名:削除されたユーザーのアカウント名
説明-対象ドメイン:ユーザーが削除されたドメイン
以上で、ユーザーの削除の監査は終了となります。
20 マイクロソフト サーバー製品のログ監査ガイド
ユーザーの無効化
対象製品:Windows Server 2003
本項では、[Active Directory ユーザーとコンピュータ]管理コンソール、及びスクリプト等からユーザーの無効化を行った場合の監査について記述します。
ユーザーの無効化が行われると、ドメイン コントローラのセキュリティ イベント
ログに、次のイベント ログが出力されます。
[ID629]イベント ログ
ユーザーの無効化が行われた場合に出力されるイベント ログです。
[ID642]イベント ログ
ユーザーに対し、何らかの変更が行われた場合に出力されるイベント ログです。
ユーザーの無効化の監査では、[ID629]イベント ログを使用して監査を行います。
[ID642]イベント ログの内容については、p.82「付録 1:イベント ログ一覧」を参照して下さい。
[ID629]イベント ログにて確認する項目は、次の通りです。
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-呼び出し側ユーザー名 /呼び出し側ドメインからも確認できます。
説明-対象アカウント名:無効化されたユーザーのアカウント名
説明-対象ドメイン:無効化されたユーザーの所属ドメイン
以上で、ユーザーの無効化の監査は終了となります。
監査設定及び監査手順 21
ユーザーの有効化
対象製品:Windows Server 2003
本項では、[Active Directory ユーザーとコンピュータ]管理コンソール、及びスクリプト等からユーザーの有効化を行った場合の監査について記述します。
ユーザーの有効化が行われると、ドメイン コントローラのセキュリティ イベント
ログに、次のイベント ログが出力されます。
[ID626]イベント ログ
ユーザーの有効化が行われた場合に出力されるイベント ログです。
[ID642]イベント ログ
ユーザーに対し、何らかの変更が行われた場合に出力されるイベント ログです。
ユーザーの有効化の監査では、[ID626]イベント ログを使用して監査を行います。
[ID642]イベント ログの内容については、p.82「付録 1:イベント ログ一覧」を参照して下さい。
[ID626]イベント ログにて確認する項目は、次の通りです。
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-呼び出し側ユーザー名 /呼び出し側ドメインからも確認できます。
説明-対象アカウント名:有効化されたユーザーのアカウント名
説明-対象ドメイン:有効化されたユーザーの所属ドメイン
以上で、ユーザーの有効化の監査は終了となります。
22 マイクロソフト サーバー製品のログ監査ガイド
パスワード リセット
対象製品:Windows Server 2003
本項では、[Active Directory ユーザーとコンピュータ]管理コンソール、及びスクリプト等からパスワード リセットを行った場合の監査について記述します。
パスワード リセットが行われると、ドメイン コントローラのセキュリティ イベント ログに、次のイベント ログが出力されます。
[ID628]イベント ログ
パスワード リセットが行われた場合に出力されるイベント ログです。
[ID642]イベント ログ
ユーザーに対し、何らかの変更が行われた場合に出力されるイベント ログです。
パスワード リセットの監査では、[ID628]イベント ログを使用して監査を行います。
[ID642]イベント ログの内容については、p.82「付録 1:イベント ログ一覧」を参照して下さい。
[ID628]イベント ログにて確認する項目は、次の通りです。
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-呼び出し側ユーザー名 /呼び出し側ドメインからも確認できます。
説明-対象アカウント名:パスワード リセットされたユーザーのアカウント名
説明-対象ドメイン:パスワード リセットされたユーザーの所属ドメイン
以上で、パスワード リセットの監査は終了となります。
監査設定及び監査手順 23
ドメインへのログオン
対象製品:Windows Server 2003
本項では、ユーザーがドメインに所属するコンピュータより、ドメインへログオンを行った場合の監査について記述します。
ドメインへのログオンが行われると、ドメイン コントローラ、及び実際にログオン操作を行ったコンピュータのセキュリティ イベント ログに、次のイベント ログが出力されます。
[ID528]イベント ログ
ドメインへのログオンが行われた場合に、出力されるイベント ログです。
※ このイベント ログは、ユーザーがログオン操作を行ったコンピュータのイベント ログに出力されます。
[ID540]イベント ログ
ドメインへのログオンが行われた場合に、出力されるイベント ログです。
※ このイベント ログは、ドメイン コントローラのイベント ログに出力されます。
ドメインへのログオンの監査では、[ID540]イベント ログを使用して監査を行います。
[ID528]イベント ログの内容については、p.82「付録 1:イベント ログ一覧」を参照して下さい。
[ID540]イベント ログにて確認する項目は、次の通りです。
日付:操作が行われた日付
時刻:操作が行われた時刻
説明-ユーザー名:ドメインへログオンしたユーザーのアカウント名
説明-ドメイン:ユーザーがログオンしたドメイン
説明-ソース ネットワーク アドレス:ユーザーがログオンしたサーバー /クライアント端末の IP アドレス
1/2 2/2
24 マイクロソフト サーバー製品のログ監査ガイド
以上で、ドメインへのログオンの監査は終了となります。
ドメインからのログオフ
対象製品:Windows Server 2003
本項では、ユーザーがドメインに所属するコンピュータにて、ドメインからのログオフを行った場合の監査について記述します。
ドメインからのログオフが行われると、ドメイン コントローラのセキュリティ イベント ログに、[ID538]イベント ログが出力されます。
[ID538]イベント ログにて確認する項目は、次の通りです。
日付:操作が行われた日付
時刻:操作が行われた時刻
説明-ユーザー名:ドメインからログオフしたユーザーのユーザー名
説明-ドメイン:ユーザーがログオフしたドメイン
ただし、コンピュータのシャットダウンによってユーザーのログオフが行われた場合には、[ID538]イベント ログは出力されない場合があります。
参考情報
[ID538]イベント ログは、実際のユーザーのログオフ操作から時間が経過してから記録される場合があります。
これは、[ID538]イベント ログが、ユーザーがログオンする際に生成したログオン セッションが削除されたタイミングで出力されるためです。システム内部では、ログオン セッション情報を[ログオン ID]として保持するトークン オブジェクトが複数存在します。ログオン セッションでは、関連付けられたトークン オブジェクトの参照数に関連する情報(参照カウンタ)を保持しており、これらのトークン オブジェクトからの参照がすべてなくなった時点(0 になった時点)で、ログオン セッションは削除されます。
監査設定及び監査手順 25
これは、イベント ログへの出力を行うサービスが、シャットダウンによるユーザーのログオフが行われる前に停止するためです。
よって、シャットダウンによるユーザーのログオフを監査するためには、シャットダウンが行われたコンピュータに出力される[ID551]イベント ログを使用します。
[ID551]イベント ログの対象製品は、Windows Server 2003、および Windows XP
Professional です。
※ [ID551]イベント ログは、ドメイン コントローラには出力されないことに注意して下さい。
なお、 [ID551]イベント ログを監査するためには、p.10「監査ポリシーの設定(グループ ポリシー)」、または p.12「監査ポリシーの設定(ローカル セキュリティ
ポリシー)」の手順に従って、監査ポリシーの設定が行われている必要があります。
[ID551]イベント ログで確認する項目は、次の通りです。
日付:操作が行われた日付
時刻:操作が行われた時刻
コンピュータ:操作が行われたコンピュータのコンピュータ名
説明-ユーザー名:ドメインからログオフしたユーザーのアカウント名
説明-ドメイン:ユーザーがログオフしたドメイン
以上で、ドメインからのログオフの監査は終了となります。
参考情報
コンピュータのシャットダウンによるログオフの詳細については、次のURL をご参照下さい。
<http://support.microsoft.com/kb/828857/ja>
26 マイクロソフト サーバー製品のログ監査ガイド
また、ドメインへのログオン /ログオフによって出力されるイベント ログと、出力先のコンピュータについて、次にまとめます。
コンピュータ ログオン ログオフ
ドメイン コントローラ [ID540]イベント ログ [ID538]イベント ログ
操作を実行したコンピュータ [ID528]イベント ログ [ID551]イベント ログ
監査設定及び監査手順 27
セキュリティ グループに関する操作 本節では、セキュリティ グループに関する操作を監査する手順について記述します。
対象とする操作は、次の通りです。
ドメイン ローカル セキュリティ グループの作成
ドメイン ローカル セキュリティ グループの削除
ドメイン ローカル セキュリティ グループへのメンバ追加
ドメイン ローカル セキュリティ グループからのメンバ削除
ドメイン ローカル セキュリティ グループの管理者の変更
ドメイン ローカル セキュリティ グループのアカウント名の変更
グローバル セキュリティ グループの作成
グローバル セキュリティ グループの削除
グローバル セキュリティ グループへのメンバ追加
グローバル セキュリティ グループからのメンバ削除
グローバル セキュリティ グループの管理者の変更
グローバル セキュリティ グループのアカウント名の変更
なお、次の操作については、p.42「Administrators, Domain Admins, Enterprise Admins
セキュリティ グループに関する操作」の各項を参照して下さい。
Administrators, Domain Admins, Enterprise Admins セキュリティ グループに対するグローバル セキュリティ グループの追加 /削除
各操作の監査手順について、次に示します。
ドメイン ローカル セキュリティ グループの作成
対象製品:Windows Server 2003
本項では、[Active Directory ユーザーとコンピュータ]管理コンソール、及びスクリプト等からドメイン ローカル セキュリティ グループの作成を行った場合の監査について記述します。
ドメイン ローカル セキュリティ グループの作成が行われると、ドメイン コントローラのセキュリティ イベント ログに、[ID635]イベント ログが出力されます。
[ID635]イベント ログにて確認する項目は、次の通りです。
28 マイクロソフト サーバー製品のログ監査ガイド
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-呼び出し側ユーザー名 /呼び出し側ドメインからも確認できます。
説明-新しいアカウント名:作成されたドメイン ローカル セキュリティ グループのアカウント名
説明-新しいドメイン:ドメイン ローカル セキュリティ グループが作成されたドメイン
以上で、ドメイン ローカル セキュリティ グループの作成の監査は終了となります。
ドメイン ローカル セキュリティ グループの削除
対象製品:Windows Server 2003
本項では、[Active Directory ユーザーとコンピュータ]管理コンソール、及びスクリプト等からドメイン ローカル セキュリティ グループの削除を行った場合の監査について記述します。
ドメイン ローカル セキュリティ グループの削除が行われると、ドメイン コントローラのセキュリティ イベント ログに、[ID638]イベント ログが出力されます。
[ID638]イベント ログにて確認する項目は、次の通りです。
監査設定及び監査手順 29
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-呼び出し側ユーザー名 /呼び出し側ドメインからも確認できます。
説明-対象アカウント名:削除されたドメイン ローカル セキュリティ グループのアカウント名
説明-対象ドメイン:ドメイン ローカル セキュリティ グループが削除されたドメイン
以上で、ドメイン ローカル セキュリティ グループの削除の監査は終了となります。
ドメイン ローカル セキュリティ グループへのメンバ追加
対象製品:Windows Server 2003
本項では、[Active Directory ユーザーとコンピュータ]管理コンソール、及びスクリプト等からドメイン ローカル セキュリティ グループへのメンバ追加を行った場合の監査について記述します。
ドメイン ローカル セキュリティ グループへのメンバ追加が行われると、ドメイン
コントローラのセキュリティ イベント ログに、次のイベント ログが出力されます。
[ID636]イベント ログ
ドメイン ローカル セキュリティ グループへのメンバ追加が行われた場合に出力されるイベント ログです。
[ID639]イベント ログ
ドメイン ローカル セキュリティ グループに対し、何らかの変更が行われた場合に出力されるイベント ログです。
ドメイン ローカル セキュリティ グループへのメンバ追加の監査では、[ID636]イベント ログを使用して監査を行います。
30 マイクロソフト サーバー製品のログ監査ガイド
[ID639]イベント ログの内容については、p.82「付録 1:イベント ログ一覧」を参照して下さい。
[ID636]イベント ログにて確認する項目は、次の通りです。
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-呼び出し側ユーザー名 /呼び出し側ドメインからも確認できます。
説明-メンバ ID:ドメイン ローカル セキュリティ グループに追加されたアカウントの ID
説明-対象アカウント名:メンバが追加されたドメイン ローカル セキュリティ
グループのアカウント名
説明-対象ドメイン:メンバが追加されたドメイン ローカル セキュリティ グループの所属ドメイン
以上で、ドメイン ローカル セキュリティ グループへのメンバ追加の監査は終了となります。
ドメイン ローカル セキュリティ グループからのメンバ削除
対象製品:Windows Server 2003
本項では、[Active Directory ユーザーとコンピュータ]管理コンソール、及びスクリプト等からドメイン ローカル セキュリティ グループからのメンバ削除を行った場合の監査について記述します。
ドメイン ローカル セキュリティ グループからのメンバ削除が行われると、ドメイン コントローラのセキュリティ イベント ログに、次のイベント ログが出力されます。
監査設定及び監査手順 31
[ID637]イベント ログ
ドメイン ローカル セキュリティ グループからのメンバ削除が行われた場合に出力されるイベント ログです。
[ID639]イベント ログ
ドメイン ローカル セキュリティ グループに対し、何らかの変更が行われた場合に出力されるイベント ログです。
ドメイン ローカル セキュリティ グループへのメンバ削除の監査では、[ID637]イベント ログを使用して監査を行います。
[ID639]イベント ログの内容については、p.82「付録 1:イベント ログ一覧」を参照して下さい。
[ID637]イベント ログにて確認する項目は、次の通りです。
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-呼び出し側ユーザー名 /呼び出し側ドメインからも確認できます。
説明-メンバ ID:ドメイン ローカル セキュリティ グループから削除されたアカウントの ID
説明-対象アカウント名:メンバが削除されたドメイン ローカル セキュリティ
グループのアカウント名
説明-対象ドメイン:メンバが削除されたドメイン ローカル セキュリティ グループの所属ドメイン
以上で、ドメイン ローカル セキュリティ グループからのメンバ削除の監査は終了となります。
32 マイクロソフト サーバー製品のログ監査ガイド
ドメイン ローカル セキュリティ グループの管理者の変更
対象製品:Windows Server 2003
本項では、[Active Directory ユーザーとコンピュータ]管理コンソール、及びスクリプト等からドメイン ローカル セキュリティ グループの管理者の変更を行った場合の監査について記述します。
なお、ドメイン ローカル セキュリティ グループの管理者の変更を監査するためには、p.14「監査エントリの追加」の手順にて、監査対象とするドメイン ローカル セキュリティ グループに対し、監査エントリの追加が行われている必要があります。
ドメイン ローカル セキュリティ グループの管理者の変更が行われると、ドメイン
コントローラのセキュリティ イベント ログに、次のイベント ログが出力されます。
[ID566]イベント ログ
オブジェクトに対し、何らかの操作が行われた場合に出力されるイベント ログです。
[ID639]イベント ログ
ドメイン ローカル セキュリティ グループに対し、何らかの変更が行われた場合に出力されるイベント ログです。
ドメイン ローカル セキュリティ グループの管理者の変更の監査では、[ID566]イベント ログを使用して監査を行います。
[ID639]イベント ログの内容については、p.82「付録 1:イベント ログ一覧」を参照して下さい。
[ID566]イベント ログにて確認する項目は、次の通りです。
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-クライアント ユーザー名 /クライアント ドメインからも確認できます。
1/2 2/2
監査設定及び監査手順 33
説明-オブジェクトの名前:管理者が変更されたドメイン ローカル セキュリティ グループの識別名
説明-プロパティの書き込み:操作内容
※ “managedBy”は管理者の変更を表します。
以上で、ドメイン ローカル セキュリティ グループの管理者の変更の監査は終了となります。
ドメイン ローカル セキュリティ グループのアカウント名の変更
対象製品:Windows Server 2003
本項では、[Active Directory ユーザーとコンピュータ]管理コンソール、及びスクリプト等からドメイン ローカル セキュリティ グループのアカウント名の変更を行った場合の監査について記述します。
ドメイン ローカル セキュリティ グループのアカウントの変更が行われると、ドメイン コントローラのセキュリティ イベント ログに、次のイベント ログが出力されます。
[ID639]イベント ログ
ドメイン ローカル セキュリティ グループに対し、何らかの変更が行われた場合に出力されるイベント ログです。
SAM アカウント名(Windows 2000 以前)の値を変更した場合に出力されます。
[ID685]イベント ログ
アカウント名の変更が行われた場合に出力されるイベント ログです。
ドメイン ローカル セキュリティ グループのアカウント名の変更の監査では、[ID685]イベント ログを使用して監査を行います。
[ID639]イベント ログの内容については、p.82「付録 1:イベント ログ一覧」を参照して下さい。
[ID685]イベント ログにて確認する項目は、次の通りです。
34 マイクロソフト サーバー製品のログ監査ガイド
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-呼び出し側ユーザー名 /呼び出し側ドメインからも確認できます。
説明-古いアカウント名:アカウント名が変更されたドメイン ローカル セキュリティ グループの変更前のアカウント名
説明-新しいアカウント名:アカウント名が変更されたドメイン ローカル セキュリティ グループの変更後のアカウント名
説明-対象ドメイン:アカウント名が変更されたドメイン ローカル セキュリティ グループの所属ドメイン
以上で、ドメイン ローカル セキュリティ グループのグループ名の変更の監査は終了となります。
グローバル セキュリティ グループの作成
対象製品:Windows Server 2003
本項では、[Active Directory ユーザーとコンピュータ]管理コンソール、及びスクリプト等からグローバル セキュリティ グループの作成を行った場合の監査について記述します。
グローバル セキュリティ グループの作成が行われると、ドメイン コントローラのセキュリティ イベント ログに、[ID631]イベント ログが出力されます。
[ID631]イベント ログにて確認する項目は、次の通りです。
監査設定及び監査手順 35
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-呼び出し側ユーザー名 /呼び出し側ドメインからも確認できます。
説明-新しいアカウント名:作成されたグローバル セキュリティ グループのアカウント名
説明-新しいドメイン:グローバル セキュリティ グループが作成されたドメイン
以上で、グローバル セキュリティ グループの作成の監査は終了となります。
グローバル セキュリティ グループの削除
対象製品:Windows Server 2003
本項では、[Active Directory ユーザーとコンピュータ]管理コンソール、及びスクリプト等からグローバル セキュリティ グループの削除を行った場合の監査について記述します。
グローバル セキュリティ グループの削除が行われると、ドメイン コントローラのセキュリティ イベント ログに、[ID634]イベント ログが出力されます。
[ID634]イベント ログにて確認する項目は、次の通りです。
36 マイクロソフト サーバー製品のログ監査ガイド
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-呼び出し側ユーザー名 /呼び出し側ドメインからも確認できます。
説明-対象アカウント名:削除されたグローバル セキュリティ グループのアカウント名
説明-対象ドメイン:グローバル セキュリティ グループが削除されたドメイン
以上で、グローバル セキュリティ グループの削除の監査は終了となります。
グローバル セキュリティ グループへのメンバ追加
対象製品:Windows Server 2003
本項では、[Active Directory ユーザーとコンピュータ]管理コンソール、及びスクリプト等からグローバル セキュリティ グループへのメンバ追加を行った場合の監査について記述します。
グローバル セキュリティ グループへのメンバ追加が行われると、ドメイン コントローラのセキュリティ イベント ログに、次のイベント ログが出力されます。
[ID632]イベント ログ
グローバル セキュリティ グループへのメンバ追加が行われた場合に出力されるイベント ログです。
[ID641]イベント ログ
グローバル セキュリティ グループに対し、何らかの変更が行われた場合に出力されるイベント ログです。
グローバル セキュリティ グループへのメンバ追加の監査では、[ID632]イベント ログを使用して監査を行います。
[ID641]イベント ログの内容については、p.82「付録 1:イベント ログ一覧」を参照して下さい。
監査設定及び監査手順 37
[ID632]イベント ログにて確認する項目は、次の通りです。
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-呼び出し側ユーザー名 /呼び出し側ドメインからも確認できます。
説明-メンバ ID:グローバル セキュリティ グループに追加されたアカウントの ID
説明-対象アカウント名:メンバが追加されたグローバル セキュリティ グループのアカウント名
説明-対象ドメイン:メンバが追加されたグローバル セキュリティ グループの所属ドメイン
以上で、グローバル セキュリティ グループへのメンバ追加の監査は終了となります。
グローバル セキュリティ グループからのメンバ削除
対象製品:Windows Server 2003
本項では、[Active Directory ユーザーとコンピュータ]管理コンソール、及びスクリプト等からグローバル セキュリティ グループからのメンバ削除を行った場合の監査について記述します。
グローバル セキュリティ グループからのメンバ削除が行われると、ドメイン コントローラのセキュリティ イベント ログに、次のイベント ログが出力されます。
[ID633]イベント ログ
グローバル セキュリティ グループからのメンバ削除が行われた場合に出力されるイベント ログです。
38 マイクロソフト サーバー製品のログ監査ガイド
[ID641]イベント ログ
グローバル セキュリティ グループに対し、何らかの変更が行われた場合に出力されるイベント ログです。
グローバルセキュリティ グループからのメンバ削除の監査では、[ID633]イベント
ログを使用して監査を行います。
[ID641]イベント ログの内容については、p.82「付録 1:イベント ログ一覧」を参照して下さい。
[ID633]イベント ログにて確認する項目は、次の通りです。
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-呼び出し側ユーザー名 /呼び出し側ドメインからも確認できます。
説明-メンバ ID:グローバル セキュリティ グループから削除されたアカウントの ID
説明-対象アカウント名:メンバが削除されたグローバル セキュリティ グループのアカウント名
説明-対象ドメイン:メンバが削除されたグローバル セキュリティ グループの所属ドメイン
以上で、グローバル セキュリティ グループからのメンバ削除の監査は終了となります。
グローバル セキュリティ グループの管理者の変更
対象製品:Windows Server 2003
監査設定及び監査手順 39
本項では、[Active Directory ユーザーとコンピュータ]管理コンソール、及びスクリプト等からグローバル セキュリティ グループの管理者の変更を行った場合の監査について記述します。
なお、グローバル セキュリティ グループの管理者の変更を監査するためには、p.14
「監査エントリの追加」の手順にて、監査対象とするグローバル セキュリティ グループに対し、監査エントリの追加が行われている必要があります。
グローバル セキュリティ グループの管理者の変更が行われると、ドメイン コントローラのセキュリティ イベント ログに、次のイベント ログが出力されます。
[ID566]イベント ログ
オブジェクトに対し、何らかの操作が行われた場合に出力されるイベント ログです。
[ID641]イベント ログ
グローバル セキュリティ グループに対し、何らかの変更が行われた場合に出力されるイベント ログです。
グローバル セキュリティ グループの管理者の変更の監査では、[ID566]イベント ログを使用して監査を行います。
[ID641]イベント ログの内容については、p.82「付録 1:イベント ログ一覧」を参照して下さい。
[ID566]イベント ログにて確認する項目は、次の通りです。
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-クライアント ユーザー名 /クライアント ドメインからも確認できます。
説明-オブジェクトの名前:管理者が変更されたグローバル セキュリティ グループの識別名
説明-プロパティの書き込み:操作内容
※ “managedBy”は管理者の変更を表します。
1/2 2/2
40 マイクロソフト サーバー製品のログ監査ガイド
以上で、グローバル セキュリティ グループの管理者の変更の監査は終了となります。
グローバル セキュリティ グループのアカウント名の変更
対象製品:Windows Server 2003
本項では、[Active Directory ユーザーとコンピュータ]管理コンソール、及びスクリプト等からグローバル セキュリティ グループのアカウント名の変更を行った場合の監査について記述します。
グローバル セキュリティ グループのアカウント名の変更が行われると、ドメイン
コントローラのセキュリティ イベント ログに、次のイベント ログが出力されます。
[ID641]イベント ログ
グローバル セキュリティ グループに対し、何らかの変更が行われた場合に出力されるイベント ログです。
SAM アカウント名(Windows 2000 以前)の値を変更した場合に出力されます。
[ID685]イベント ログ
アカウント名の変更が行われた場合に出力されるイベント ログです。
グローバル セキュリティ グループのグループ名の変更の監査では、[ID685]イベント ログを使用して監査を行います。
[ID641]イベント ログの内容については、p.82「付録 1:イベント ログ一覧」を参照して下さい。
[ID685]イベント ログにて確認する項目は、次の通りです。
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-呼び出し側ユーザー名 /呼び出し側ドメインからも確認できます。
監査設定及び監査手順 41
説明-古いアカウント名:アカウント名が変更されたグローバル セキュリティ
グループの変更前のアカウント名
説明-新しいアカウント名:アカウント名が変更されたグローバル セキュリティ グループの変更後のアカウント名
説明-対象ドメイン:アカウント名が変更されたグローバル セキュリティ グループの所属ドメイン
以上で、グローバル セキュリティ グループのアカウント名の変更の監査は終了となります。
42 マイクロソフト サーバー製品のログ監査ガイド
Administrators, Domain Admins, Enterprise Admins セキュ
リティ グループに関する操作 本節では、Administrators, Domain Admins, Enterprise Admins セキュリティ グループに関する操作を監査する手順について記述します。
対象とする操作は、次の通りです。
Administrators セキュリティ グループへのメンバ追加
Administrators セキュリティ グループからのメンバ削除
Administrators セキュリティ グループの管理者の変更
Domain Admins, Enterprise Admins セキュリティ グループへのメンバ追加
Domain Admins, Enterprise Admins セキュリティ グループからのメンバ削除
Domain Admins, Enterprise Admins セキュリティ グループの管理者の変更
Domain Admins, Enterprise Admins セキュリティ グループのアカウント名の変更
各操作の監査手順について、次に示します。
Administrators セキュリティ グループへのメンバ追加
対象製品:Windows Server 2003
本項では、[Active Directory ユーザーとコンピュータ]管理コンソール、及びスクリプト等から Administrators セキュリティ グループへのメンバ追加を行った場合の監査について記述します。
Administrators セキュリティ グループへのメンバ追加が行われると、ドメイン コントローラのセキュリティ イベント ログに、次のイベント ログが出力されます。
[ID636]イベント ログ
ドメイン ローカル セキュリティ グループへのメンバ追加が行われた場合に出力されるイベント ログです。
[ID639]イベント ログ
ドメイン ローカル セキュリティ グループに対し、何らかの変更が行われた場合に出力されるイベント ログです。
[ID566]イベント ログ
オブジェクトに対し、何らかの操作が行われた場合に出力されるイベント ログです。
Administrators セキュリティ グループへのメンバ追加の監査では、[ID636]イベント
ログを使用して監査を行います。
[ID639]、及び[ID566]イベント ログの内容については、p.82「付録 1:イベント ログ一覧」を参照して下さい。
監査設定及び監査手順 43
[ID636]イベント ログにて確認する項目は、次の通りです。
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-呼び出し側ユーザー名 /呼び出し側ドメインからも確認できます。
説明-メンバ ID:Administrators セキュリティ グループに追加されたアカウントの ID
説明-対象アカウント名:メンバが追加されたドメイン ローカル セキュリティ
グループのアカウント名
※ 今回の場合では、”Administrators”
説明-対象ドメイン:メンバが追加されたドメイン ローカル セキュリティ グループの所属ドメイン
※ ビルトイン グループの場合は、”Builtin”と表示されます。
以上で、Administrators セキュリティ グループへのメンバ追加の監査は終了となります。
Administrators セキュリティ グループからのメンバ削除
対象製品:Windows Server 2003
本項では、[Active Directory ユーザーとコンピュータ]管理コンソール、及びスクリプト等から Administrators セキュリティ グループからのメンバ削除を行った場合の監査について記述します。
Administrators セキュリティ グループからのメンバ削除が行われると、ドメイン コントローラのセキュリティ イベント ログに、次のイベント ログが出力されます。
[ID637]イベント ログ
ドメイン ローカル セキュリティ グループからのメンバ削除が行われた場合に出力されるイベント ログです。
44 マイクロソフト サーバー製品のログ監査ガイド
[ID639]イベント ログ
ドメイン ローカル セキュリティ グループに対し、何らかの変更が行われた場合に出力されるイベント ログです。
[ID566]イベント ログ
オブジェクトに対し、何らかの操作が行われた場合に出力されるイベント ログです。
Administrators セキュリティ グループからのメンバ削除の監査では、[ID637]イベント ログを使用して監査を行います。
[ID639] 、及び[ID566]イベント ログの内容については、p.82「付録 1:イベント ログ一覧」を参照して下さい。
[ID637]イベント ログにて確認する項目は、次の通りです。
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-呼び出し側ユーザー名 /呼び出し側ドメインからも確認できます。
説明-メンバ ID:ドメイン ローカル セキュリティ グループから削除されたアカウントの ID
説明-対象アカウント名:メンバが削除されたドメイン ローカル セキュリティ
グループのアカウント名
※ 今回の場合は、”Administrators”
説明-対象ドメイン:メンバが削除されたドメイン ローカル セキュリティ グループの所属ドメイン
※ ビルトイン グループの場合は、”Builtin”と表示されます。
以上で、Administrators セキュリティ グループからのメンバ削除の監査は終了となります。
監査設定及び監査手順 45
Administrators セキュリティ グループの管理者の変更
対象製品:Windows Server 2003
本項では、[Active Directory ユーザーとコンピュータ]管理コンソール、及びスクリプト等から Administrators セキュリティ グループの管理者の変更を行った場合の監査について記述します。
Administrators セキュリティ グループの管理者の変更が行われると、ドメイン コントローラのセキュリティ イベント ログに、次のイベント ログが出力されます。
[ID566]イベント ログ(1 つ目)
オブジェクトに対し、何らかの操作が行われた場合に出力されるイベント ログです。
アカウントに対する権限の書き込みに対して出力されるイベント ログで、説明欄の[プロパティの書き込み]に、”WRITE_DAC”と記録されます。
[ID566]イベント ログ(2 つ目)
同じく、オブジェクトに対し、何らかの操作が行われた場合に出力されるイベント ログです。
アカウントのプロパティの変更に対して出力されるイベント ログで、説明欄の[プロパティの書き込み]に、”managedBy”と記録されます。
[ID639]イベント ログ
ドメイン ローカル セキュリティ グループに対し、何らかの変更が行われた場合に出力されるイベント ログです。
Administrators セキュリティ グループの管理者の変更の監査では、2 つ目の[ID566]イベント ログを使用して監査を行います。
[ID639]イベント ログの内容については、p.82「付録 1:イベント ログ一覧」を参照して下さい。
[ID566]イベント ログにて確認する項目は、次の通りです。
日付:操作が行われた日付
時刻:操作が行われた時刻
1/2 2/2
46 マイクロソフト サーバー製品のログ監査ガイド
ユーザー:操作を実行したユーザー
※ 説明-クライアント ユーザー名 /クライアント ドメインからも確認できます。
説明-オブジェクトの名前:管理者が変更されたドメイン ローカル セキュリティ グループの識別名
※ 今回の場合は、”Administrators”
説明-プロパティの書き込み:操作内容
※ “managedBy”は管理者の変更を表します。
以上で、Administrators セキュリティ グループの管理者の変更の監査は終了となります。
Domain Admins, Enterprise Admins セキュリティ グループへのメンバ追加
対象製品:Windows Server 2003
本項では、[Active Directory ユーザーとコンピュータ]管理コンソール、及びスクリプト等から Domain Admins, Enterprise Admins セキュリティ グループへのメンバ追加を行った場合の監査について記述します。
Domain Admins, Enterprise Admins セキュリティ グループへのメンバ追加が行われると、ドメイン コントローラのセキュリティ イベント ログに、次のイベント ログが出力されます。
[ID632]イベント ログ
グローバル セキュリティ グループへのメンバ追加が行われた場合に出力されるイベント ログです。
[ID641]イベント ログ
グローバル セキュリティ グループに対し、何らかの変更が行われた場合に出力されるイベント ログです。
[ID566]イベント ログ
オブジェクトに対し、何らかの操作が行われた場合に出力されるイベントログです。
Domain Admins, Enterprise Admins セキュリティ グループへのメンバ追加の監査では、[ID632]イベント ログを使用して監査を行います。
[ID641] 、及び[ID566]イベント ログの内容については、p.82「付録 1:イベント ログ一覧」を参照して下さい。
[ID632]イベント ログにて確認する項目は、次の通りです。
監査設定及び監査手順 47
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-呼び出し側ユーザー名 /呼び出し側ドメインからも確認できます。
説明-メンバ ID:グローバル セキュリティ グループに追加されたアカウントの ID
説明-対象アカウント名:メンバが追加されたグローバル セキュリティ グループのアカウント名
※ 今回の場合は、”Domain Admins”、または”Enterprise Admins”
説明-対象ドメイン:メンバが追加されたグローバル セキュリティ グループの所属ドメイン
以上で、Domain Admins, Enterprise Admins セキュリティ グループへのメンバ追加の監査は終了となります。
Domain Admins, Enterprise Admins セキュリティ グループからのメンバ削除
対象製品:Windows Server 2003
本項では、[Active Directory ユーザーとコンピュータ]管理コンソール、及びスクリプト等から Domain Admins, Enterprise Admins セキュリティ グループからのメンバ削除を行った場合の監査について記述します。
Domain Admins, Enterprise Admins セキュリティ グループからのメンバ削除が行われると、ドメイン コントローラのセキュリティ イベント ログに、次のイベント ログが出力されます。
[ID633]イベント ログ
グローバル セキュリティ グループからのメンバ削除が行われた場合に出力されるイベント ログです。
48 マイクロソフト サーバー製品のログ監査ガイド
[ID641]イベント ログ
グローバル セキュリティ グループに対し、何らかの変更が行われた場合に出力されるイベント ログです。
[ID566]イベント ログ
オブジェクトに対し、何らかの操作が行われた場合に出力されるイベント ログです。
Domain Admins, Enterprise Admins セキュリティ グループからのメンバ削除の監査では、[ID633]イベント ログを使用して監査を行います。
[ID641] 、及び[ID566]イベント ログの内容については、p.82「付録 1:イベント ログ一覧」を参照して下さい。
[ID633]イベント ログにて確認する項目は、次の通りです。
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-呼び出し側ユーザー名 /呼び出し側ドメインからも確認できます。
説明-メンバ ID:グローバル セキュリティ グループから削除されたアカウントの ID
説明-対象アカウント名:メンバが削除されたグローバル セキュリティ グループのアカウント名
※ 今回の場合は、”Domain Admins”、または”Enterprise Admins”
説明-対象ドメイン:メンバが削除されたグローバル セキュリティ グループの所属ドメイン
以上で、Domain Admins, Enterprise Admins セキュリティ グループからのメンバ削除の監査は終了となります。
監査設定及び監査手順 49
Domain Admins, Enterprise Admins セキュリティ グループの管理者の変更
対象製品:Windows Server 2003
本項では、[Active Directory ユーザーとコンピュータ]管理コンソール、及びスクリプト等から Domain Admins, Enterprise Admins セキュリティ グループの管理者の変更を行った場合の監査について記述します。
Domain Admins, Enterprise Admins セキュリティ グループの管理者の変更が行われると、ドメイン コントローラのセキュリティ イベント ログに、次のイベント ログが出力されます。
[ID566]イベント ログ(1 つ目)
オブジェクトに対し、何らかの操作が行われた場合に出力されるイベント ログです。
アカウントに対する権限の書き込みに対して出力されるイベント ログで、説明欄の[プロパティの書き込み]に、”WRITE_DAC”と記録されます。
[ID566]イベント ログ(2 つ目)
同じく、オブジェクトに対し、何らかの操作が行われた場合に出力されるイベント ログです。
アカウントのプロパティの変更に対して出力されるイベント ログで、説明欄の[プロパティの書き込み]に、”managedBy”と記録されます。
[ID641]イベント ログ
グローバル セキュリティ グループに対し、何らかの変更が行われた場合に出力されるイベント ログです。
Domain Admins, Enterprise Admins セキュリティ グループの管理者の変更の監査では、2 つ目の[ID566]イベント ログを使用して監査を行います。
[ID641]イベント ログの内容については、p.82「付録 1:イベント ログ一覧」を参照して下さい。
[ID566]イベント ログにて確認する項目は、次の通りです。
日付:操作が行われた日付
時刻:操作が行われた時刻
1/2 2/2
50 マイクロソフト サーバー製品のログ監査ガイド
ユーザー:操作を実行したユーザー
※ 説明-クライアント ユーザー名 /クライアント ドメインからも確認できます。
説明-オブジェクトの名前:管理者が変更されたグローバル セキュリティ グループの識別名
※ 今回の場合は、”Domain Admins”、または”Enterprise Admins”
説明-プロパティの書き込み:操作内容
※ “managedBy”は管理者の変更を表します。
以上で、Domain Admins, Enterprise Admins セキュリティ グループの管理者の変更の監査は終了となります。
Domain Admins, Enterprise Admins セキュリティ グループのアカウント名の変更
対象製品:Windows Server 2003
本項では、[Active Directory ユーザーとコンピュータ]管理コンソール、及びスクリプト等から Domain Admins, Enterprise Admins セキュリティ グループのアカウント名の変更を行った場合の監査について記述します。
Domain Admins, Enterprise Admins セキュリティ グループのアカウント名の変更が行われると、ドメイン コントローラのセキュリティ イベント ログに、次のイベント
ログが出力されます。
[ID566]イベント ログ(1 つ目)
オブジェクトに対し、何らかの操作が行われた場合に出力されるイベント ログです。
説明欄の[プロパティの書き込み]に、”Public Information”と記録されます。
[ID566]イベント ログ(2 つ目)
同じく、オブジェクトに対し、何らかの操作が行われた場合に出力されるイベント ログです。
説明欄の[プロパティの書き込み]に、”General Information”と記録されます。
[ID641]イベント ログ
グローバル セキュリティ グループに対し、何らかの変更が行われた場合に出力されるイベント ログです。
SAM アカウント名(Windows 2000 以前)の値を変更した場合に出力されます。
[ID685]イベント ログ
アカウント名の変更が行われた場合に出力されるイベント ログです。
Domain Admins, Enterprise Admins セキュリティ グループのグループ名の変更の監査では、[ID685]イベント ログを使用して監査を行います。
[ID641]、及び[ID566]イベント ログの内容については、p.82「付録 1:イベント ログ一覧」を参照して下さい。
監査設定及び監査手順 51
[ID685]イベント ログにて確認する項目は、次の通りです。
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-呼び出し側ユーザー名 /呼び出し側ドメインからも確認できます。
説明-古いアカウント名:アカウント名が変更されたグローバル セキュリティ
グループの変更前のアカウント名
説明-新しいアカウント名:アカウント名が変更されたグローバル セキュリティ グループの変更後のアカウント名
説明-対象ドメイン:アカウント名が変更されたグローバル セキュリティ グループの所属ドメイン
以上で、Domain Admins, Enterprise Admins セキュリティ グループのアカウント名の変更の監査は終了となります。
52 マイクロソフト サーバー製品のログ監査ガイド
グループ ポリシーに関する操作 本節では、グループ ポリシー管理コンソール(GPMC)からのグループ ポリシーの操作を監査する手順について記述します。
GPMC とは、グループ ポリシーに関連する管理作業を集約した管理コンソールで、次の URL よりダウンロードすることができます。
<http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=0a6d4c24-
8cbd-4b35-9272-dd3cbfc81887>
対象とする操作は、次の通りです。
グループ ポリシーの内容の変更
グループ ポリシーの状態の変更
グループ ポリシーの委任の変更
グループ ポリシーのスコープ(リンク)の変更
グループ ポリシーのスコープ(フィルタ)の変更
各操作の監査手順について、次に示します。
グループ ポリシーの内容の変更
対象製品:Windows Server 2003
本項では、[グループ ポリシーの管理]コンソール等からグループ ポリシーの内容の変更を行った場合の監査について記述します。
グループ ポリシーの内容の変更が行われると、ドメイン コントローラのセキュリティ イベント ログに、[ID566]イベント ログが出力されます。
[ID566]イベント ログにて確認する項目は、次の通りです。
日付:操作が行われた日付
時刻:操作が行われた時刻
1/2 2/2
監査設定及び監査手順 53
ユーザー:操作を実行したユーザー
※ 説明-クライアント ユーザー名 /クライアント ドメインからも確認できます。
説明-オブジェクトの名前:変更されたグループ ポリシーの識別名
※ 識別名から表示名を確認する方法については、p.91「付録 2:関連情報」を参照して下さい。
説明-プロパティの書き込み:操作内容
※ “versionNumber”はグループ ポリシーの内容の変更を表します。
以上で、グループ ポリシーの内容の変更の監査は終了となります。
グループ ポリシーの状態の変更
対象製品:Windows Server 2003
本項では、[グループ ポリシーの管理]コンソールからグループ ポリシーの状態の変更を行った場合の監査について記述します。
上図…GPMC によるグループ ポリシーの状態([有効]、[ユーザーの構成の設定が無効]、[す
べての設定が無効]、[コンピュータの構成の設定が無効])の変更
参考情報
また、グループ ポリシー オブジェクトがどのように変更されたかについては、[Microsoft Advanced Group Policy Management]を利用して確認することができます。
[Microsoft Advanced Group Policy Management]の詳細については、次のURL を参照して下さい。
<http://www.microsoft.com/japan/windows/products/windowsvista/buyoru
pgrade/optimizeddesktop/default.mspx>
54 マイクロソフト サーバー製品のログ監査ガイド
グループ ポリシーの状態の変更が行われると、ドメイン コントローラのセキュリティ イベント ログに、[ID566]イベント ログが出力されます。
[ID566]イベント ログにて確認する項目は、次の通りです。
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-クライアント ユーザー名 /クライアント ドメインからも確認できます。
説明-オブジェクトの名前:変更されたグループ ポリシーの識別名
※ 識別名から表示名を確認する方法については、p.91「付録 2:関連情報」を参照して下さい。
説明-プロパティの書き込み:操作内容
※ “flags”はグループ ポリシーの状態の変更を表します。
以上で、グループ ポリシーの状態の変更の監査は終了となります。
グループ ポリシーの委任の変更
対象製品:Windows Server 2003
本項では、[グループ ポリシーの管理]コンソール等からグループ ポリシーの委任の変更を行った場合の監査について記述します。
1/2 2/2
監査設定及び監査手順 55
上図…GPMC による委任の変更(ユーザー、グループに対する、グループ ポリシー オブジェ
クトの[読み取り]、[設定の編集]、[設定の編集、削除、及びセキュリティの変更]アクセス許
可の割り当ての変更)
グループ ポリシーの委任の変更が行われると、ドメイン コントローラのセキュリティ イベント ログに、[ID566]イベント ログが出力されます。
[ID566]イベント ログにて確認する項目は、次の通りです。
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-クライアント ユーザー名 /クライアント ドメインからも確認できます。
説明-オブジェクトの名前:変更されたグループ ポリシーの識別名
※ 識別名から表示名を確認する方法については、p.91「付録 2:関連情報」を参照して下さい。
説明-プロパティ:操作内容
※ “WRITE_DAC”はグループ ポリシーの委任の変更(権限の変更)を表します。
1/2 2/2
56 マイクロソフト サーバー製品のログ監査ガイド
以上で、グループ ポリシーの委任の変更の監査は終了となります。
グループ ポリシーのスコープ(リンク)の変更
対象製品:Windows Server 2003
本項では、[グループ ポリシーの管理]コンソール等からグループ ポリシーのスコープ(リンク)の変更を行った場合の監査について記述します。
上図…GPMC によるリンクの変更(Active Directoryのサイト、ドメイン、OUに対するグル
ープ ポリシー オブジェクトのリンクの変更)
注意
グループ ポリシーの委任の変更では、グループ ポリシーに対するアクセス権の変更が行われます。よって、[ID566]イベント ログの[プロパティの書き込み]に、オブジェクトのアクセス権(DACL)が変更されたことを示す、”WRITE_DAC”が記録されます。
ただし、グループ ポリシーのスコープ(フィルタ)の変更でも、[プロパティの書き込み]に”WRITE_DAC”が記録された[ID566]イベント ログが出力されるため、これら 2 つの操作を Windows Server 2003 のイベント
ログから識別することはできません。
注意
“WRITE_DAC”は、権限の変更だけでなく、権限の読み取りが行われた場合にも出力される場合があります。
詳細については、以下の URL を参照して下さい。
<http://support.microsoft.com/kb/225246/en-us>
監査設定及び監査手順 57
グループ ポリシーのスコープ(リンク)の変更が行われると、ドメイン コントローラのセキュリティ イベント ログに、[ID566]イベント ログが出力されます。
[ID566]イベント ログにて確認する項目は、次の通りです。
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-クライアント ユーザー名 /クライアント ドメインからも確認できます。
説明-オブジェクトの名前:新しくグループ ポリシー オブジェクトにリンクされた、ドメイン、組織単位(OU)等の識別名
説明-プロパティの書き込み:操作内容
※ “gPLink”はグループ ポリシーのスコープ(リンク)の変更を表します。
以上で、グループ ポリシーのスコープ(リンク)の変更の監査は終了となります。
グループ ポリシーのスコープ(フィルタ)の変更
対象製品:Windows Server 2003
本項では、[グループ ポリシーの管理]コンソール等からグループ ポリシーのスコープ(フィルタ)の変更を行った場合の監査について記述します。
1/2 2/2
58 マイクロソフト サーバー製品のログ監査ガイド
上図…GPMC によるフィルタの変更(グループ ポリシー オブジェクトを適用するユーザー、
およびコンピュータの変更)
グループ ポリシーのスコープ(フィルタ)の変更が行われると、ドメイン コントローラのセキュリティ イベント ログに、[ID566]イベント ログが出力されます。
[ID566]イベント ログにて確認する項目は、次の通りです。
日付:操作が行われた日付
時刻:操作が行われた時刻
ユーザー:操作を実行したユーザー
※ 説明-クライアント ユーザー名 /クライアント ドメインからも確認できます。
説明-オブジェクトの名前:変更されたグループ ポリシーの識別名
※ 識別名から表示名を確認する方法については、p.91「付録 2:関連情報」を参照して下さい。
1/2 2/2
監査設定及び監査手順 59
説明-プロパティの書き込み:操作内容
※ “WRITE_DAC”はグループ ポリシーのスコープ(フィルタ)の変更(権限の変更)を表します。
以上で、グループ ポリシーのスコープ(フィルタ)の変更の監査は終了となります。
注意
グループ ポリシーのスコープ(フィルタ)の変更では、ユーザーに対するグループ ポリシーの読み取り、及び適用権限の削除が行われます。
よって、[ID566]イベント ログの[プロパティの書き込み]に、オブジェクトのアクセス権(DACL)が変更されたことを示す、”WRITE_DAC”が記録されます。ただし、グループ ポリシーの委任の変更でも、[プロパティの書き込み]に”WRITE_DAC”が記録された[ID566]イベント ログが出力されるため、これら 2 つの操作を Windows Server 2003 のイベント ログから識別することはできません。
注意
“WRITE_DAC”は、権限の変更だけでなく、権限の読み取りが行われた場合にも出力される場合があります。
詳細については、以下の URL を参照して下さい。
<http://support.microsoft.com/kb/225246/en-us>
60 マイクロソフト サーバー製品のログ監査ガイド
取得ログ項目一覧 Active Directory 上の各種操作における監査について、監査対象、監査要素をまとめたマトリクスを、次に示します。
ユーザーに関する操作
対象製品:Windows Server 2003
凡例:○…識別可能、△…操作内容の識別は不可能、×…識別不可能
監査対象 操作内容 監査要素 識別可否 備考
ユーザー 作成 誰が操作を実行したか ○ [ID624]の[ユーザー]、または[呼び出し側ユーザー名]/[呼び出し側ドメイン]より確認可能。
いつ操作を実行したか ○ [ID624]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID624]はユーザーの作成を表す。
どのアカウントに対して操作を実行したか
対象アカウント名 ○ [ID624]の[新しいアカウント名]より確認可能。
対象アカウントの所属ドメイン
○ [ID624]の[新しいドメイン]より確認可能。
削除 誰が操作を実行したか ○ [ID630]の[ユーザー]、または[呼び出し側ユーザー名]/[呼び出し側ドメイン]より確認可能。
監査設定及び監査手順 61
監査対象 操作内容 監査要素 識別可否 備考
いつ操作を実行したか ○ [ID630]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID630]はユーザーの削除を表す。
どのアカウントに対して操作を実行したか
対象アカウント名 ○ [ID630]の[対象アカウント名]より確認可能。
対象アカウントの所属ドメイン
○ [ID630]の[対象ドメイン]より確認可能。
無効化 誰が操作を実行したか ○ [ID629]の[ユーザー]、または[呼び出し側ユーザー名]/[呼び出し側ドメイン]より確認可能。
いつ操作を実行したか ○ [ID629]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID629]はユーザーの無効化を表す。
どのアカウントに対して操作を実行したか
対象アカウント名 ○ [ID629]の[対象アカウント名]より確認可能。
対象アカウントの所属ドメイン
○ [ID629]の[対象ドメイン]より確認可能。
有効化 誰が操作を実行したか ○ [ID626]の[ユーザー]、または[呼び出し側ユーザー名]/[呼び出し側ドメイン]より確認可能。
いつ操作を実行したか ○ [ID626]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID626]はユーザーの有効化を表す。
どのアカ 対象アカウント名 ○ [ID626]の[対象アカウント名]より確認可能。
62 マイクロソフト サーバー製品のログ監査ガイド
監査対象 操作内容 監査要素 識別可否 備考
ウントに対して操作を実行したか
対象アカウントの所属ドメイン
○ [ID626]の[対象ドメイン]より確認可能。
パスワード リセット 誰が操作を実行したか ○ [ID628]の[ユーザー]、または[呼び出し側ユーザー名]/[呼び出し側ドメイン]より確認可能。
いつ操作を実行したか ○ [ID628]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID628]はパスワード リセットを表す。
どのアカウントに対して操作を実行したか
対象アカウント名 ○ [ID628]の[対象アカウント名]より確認可能。
対象アカウントの所属ドメイン
○ [ID628]の[対象ドメイン]より確認可能。
ドメインへのログオン 誰が操作を実行したか ○ [ID540]の[ユーザー]、または[ユーザー名]/[ドメイン]より確認可能。
([ID540]はドメイン コントローラに出力される)
いつ操作を実行したか ○ [ID540]の[日付]、[時刻]より確認可能。
([ID540]はドメイン コントローラに出力される)
どんな操作を実行したか ○ [ID540]はドメインへのログオンを表す。
([ID540]はドメイン コントローラに出力される)
監査設定及び監査手順 63
監査対象 操作内容 監査要素 識別可否 備考
ドメインからのログオフ
(通常のログオフ)
誰が操作を実行したか ○ [ID538]の[ユーザー名]/[ドメイン]より確認可能。
([ID538]はドメイン コントローラに出力される)
いつ操作を実行したか ○※ [ID538]の[日付]、[時刻]より確認可能。
([ID538]はドメイン コントローラに出力される)
※[ID538]は、実際のユーザーのログオフ操作から時間が経過してから記録される場合があります。詳細については、p.24「ドメインからのログオフ」を参照して下さい。
どんな操作を実行したか ○ [ID538]はドメインからのログオフを表す。
([ID538]はドメイン コントローラに出力される)
ドメインからのログオフ
(コンピュータのシャット
ダウンによるログオフ)
対象製品:Windows Server
2003 /Windows XP Professional
誰が操作を実行したか ○ [ID551]の[ユーザー名]/[ドメイン]より確認可能。
([ID551]は実際に操作が行われたコンピュータに出力される)
いつ操作を実行したか ○ [ID551]の[日付]、[時刻]より確認可能。
([ID551]は実際に操作が行われたコンピュータに出力される)
64 マイクロソフト サーバー製品のログ監査ガイド
監査対象 操作内容 監査要素 識別可否 備考
どんな操作を実行したか ○ [ID551]はコンピュータのシャットダウンによるログオフを表す。
([ID551]は実際に操作が行われたコンピュータに出力される)
監査設定及び監査手順 65
セキュリティ グループに関する操作
対象製品:Windows Server 2003
凡例:○…識別可能、△…操作内容の識別は不可能、×…識別不可能
監査対象 操作内容 監査要素 識別可否 備考
ドメイン ローカル セキュリティ グループ
作成 誰が操作を実行したか ○ [ID635]の[ユーザー]、または[呼び出し側ユーザー名]/[ 呼び出し側ドメイン]より確認可能。
いつ操作を実行したか ○ [ID635]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID635]はドメイン ローカル セキュリティ グループの作成を表す。
どのアカウントに対して操作を実行したか
対象アカウント名 ○ [ID635]の[新しいアカウント名]より確認可能。
対象アカウントの所属ドメイン
○ [ID635]の[新しいドメイン]より確認可能。
削除 誰が操作を実行したか ○ [ID638]の[ユーザー]、または[呼び出し側ユーザー名]/[ 呼び出し側ドメイン]より確認可能。
いつ操作を実行したか ○ [ID638]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID638]はドメイン ローカル セキュリティ グループの削除を表す。
どのアカウン 対象アカウント名 ○ [ID638]の[対象アカウント名]より確認可能。
66 マイクロソフト サーバー製品のログ監査ガイド
監査対象 操作内容 監査要素 識別可否 備考
トに対して操作を実行したか
対象アカウントの所属ドメイン
○ [ID638]の[対象ドメイン]より確認可能。
メンバ追加 誰が操作を実行したか ○ [ID636]の[ユーザー]、または[呼び出し側ユーザー名]/[ 呼び出し側ドメイン]より確認可能。
いつ操作を実行したか ○ [ID636]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID636]はドメイン ローカル セキュリティ グループへのメンバの追加を表す。
どのアカウントに対して操作を実行したか
対象アカウント名 ○ [ID636]の[対象アカウント名]より確認可能。
対象アカウントの所属ドメイン
○ [ID636]の[対象ドメイン]より確認可能。
追加されたメンバのアカウント名
○ [ID636]の[メンバ ID]より確認可能。
追加されたメンバの所属ドメイン
○ [ID636]の[メンバ ID]より確認可能。
メンバ削除 誰が操作を実行したか ○ [ID637]の[ユーザー]、または[呼び出し側ユーザー名]/[ 呼び出し側ドメイン]より確認可能。
いつ操作を実行したか ○ [ID637]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID637]はドメイン ローカル セキュリティ グループからのメンバの削除を表す。
監査設定及び監査手順 67
監査対象 操作内容 監査要素 識別可否 備考
どのアカウントに対して操作を実行したか
対象アカウント名 ○ [ID637]の[対象アカウント名]より確認可能。
対象アカウントの所属ドメイン
○ [ID637]の[対象ドメイン]より確認可能。
削除されたメンバのアカウント名
○ [ID637]の[メンバ ID]より確認可能。
削除されたメンバの所属ドメイン
○ [ID637]の[メンバ ID]より確認可能。
管理者変更 誰が操作を実行したか ○ [ID566]の[ユーザー]、または[クライアント ユーザー名]/[ クライアント ドメイン]より確認可能。
いつ操作を実行したか ○ [ID566]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID566]の[プロパティの書き込み]より確認可能。(”managedBy”と記録される)
どのアカウントに対して操作を実行したか
対象アカウント名 ○ [ID566]の[オブジェクトの名前]より確認可能。
対象アカウントの所属ドメイン
○ [ID566]の[オブジェクトの名前]より確認可能。
管理者に指定されたユーザーのアカウント名
×
管理者に指定されたユーザーの所属ドメイン
×
68 マイクロソフト サーバー製品のログ監査ガイド
監査対象 操作内容 監査要素 識別可否 備考
アカウント名変更 誰が操作を実行したか ○ [ID685]の[ユーザー]、または[呼び出し側ユーザー名]/[ 呼び出し側ドメイン]より確認可能。
いつ操作を実行したか ○ [ID685]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID685]はアカウント名の変更を表す。
どのアカウントに対して操作を実行したか
対象アカウント名
(変更前)
○ [ID685]の[古いアカウント名]より確認可能。
対象アカウント名
(変更後)
○ [ID685]の[新しいアカウント名]より確認可能。
対象アカウントの所属ドメイン
○ [ID685]の[対象ドメイン]より確認可能。
グローバル セキュリティ グループ
作成 誰が操作を実行したか ○ [ID631]の[ユーザー]、または[呼び出し側ユーザー名]/[ 呼び出し側ドメイン]より確認可能。
いつ操作を実行したか ○ [ID631]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID631]はグローバル セキュリティ グループの作成を表す。
どのアカウントに対して操作を実行したか
対象アカウント名 ○ [ID631]の[新しいアカウント名]より確認可能。
対象アカウントの所属ドメイン
○ [ID634]の[新しいドメイン]より確認可能。
監査設定及び監査手順 69
監査対象 操作内容 監査要素 識別可否 備考
削除 誰が操作を実行したか ○ [ID634]の[ユーザー]、または[呼び出し側ユーザー名]/[ 呼び出し側ドメイン]より確認可能。
いつ操作を実行したか ○ [ID634]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID634]はグローバル セキュリティ グループの削除を表す。
どのアカウントに対して操作を実行したか
対象アカウント名 ○ [ID634]の[対象アカウント名]より確認可能。
対象アカウントの所属ドメイン
○ [ID634]の[対象ドメイン]より確認可能。
メンバ追加 誰が操作を実行したか ○ [ID632]の[ユーザー]、または[呼び出し側ユーザー名]/[ 呼び出し側ドメイン]より確認可能。
いつ操作を実行したか ○ [ID632]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID632]はグローバルセキュリティ グループへのメンバの追加を表す。
どのアカウントに対して操作を実行したか
対象アカウント名 ○ [ID632]の[対象アカウント名]より確認可能。
対象アカウントの所属ドメイン
○ [ID632]の[対象ドメイン]より確認可能。
追加されたメンバのアカウント名
○ [ID632]の[メンバ ID]より確認可能。
追加されたメンバの所属ドメイン
○ [ID632]の[メンバ ID]より確認可能。
70 マイクロソフト サーバー製品のログ監査ガイド
監査対象 操作内容 監査要素 識別可否 備考
メンバ削除 誰が操作を実行したか ○ [ID633]の[ユーザー]、または[呼び出し側ユーザー名]/[ 呼び出し側ドメイン]より確認可能。
いつ操作を実行したか ○ [ID633]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID633]はグローバルセキュリティ グループからのメンバの削除を表す。
どのアカウントに対して操作を実行したか
対象アカウント名 ○ [ID633]の[対象アカウント名]より確認可能。
対象アカウントの所属ドメイン
○ [ID633]の[対象ドメイン]より確認可能。
削除されたメンバのアカウント名
○ [ID633]の[メンバ ID]より確認可能。
削除されたメンバの所属ドメイン
○ [ID633]の[メンバ ID]より確認可能。
管理者変更 誰が操作を実行したか ○ [ID566]の[ユーザー]、または[クライアント ユーザー名]/[ クライアント ドメイン]より確認可能。
いつ操作を実行したか ○ [ID566]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID566]の[プロパティの書き込み]より確認可能。(”managedBy”と記録される)
どのアカウントに対して操
対象アカウント名 ○ [ID566]の[オブジェクトの名前]より確認可能。
監査設定及び監査手順 71
監査対象 操作内容 監査要素 識別可否 備考
作を実行したか
対象アカウントの所属ドメイン
○ [ID566]の[オブジェクトの名前]より確認可能。
管理者に指定されたユーザーのアカウント名
×
管理者に指定されたユーザーの所属ドメイン
×
アカウント名変更 誰が操作を実行したか ○ [ID685]の[ユーザー]、または[呼び出し側ユーザー名]/[ 呼び出し側ドメイン]より確認可能。
いつ操作を実行したか ○ [ID685]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID685]はアカウント名の変更を表す。
どのアカウントに対して操作を実行したか
対象アカウント名
(変更前)
○ [ID685]の[古いアカウント名]より確認可能。
対象アカウント名
(変更後)
○ [ID685]の[新しいアカウント名]より確認可能。
対象アカウントの所属ドメイン
○ [ID685]の[対象ドメイン]より確認可能。
72 マイクロソフト サーバー製品のログ監査ガイド
Administrators, Domain Admins, Enterprise Admins セキュリティ グループに関する操作
対象製品:Windows Server 2003
凡例:○…識別可能、△…操作内容の識別は不可能、×…識別不可能
監査対象 操作内容 監査要素 識別可否 備考
Administrators セキュリティ グループ
メンバ追加 誰が操作を実行したか ○ [ID636]の[ユーザー]、または[呼び出し側ユーザー名]/[ 呼び出し側ドメイン]より確認可能。
いつ操作を実行したか ○ [ID636]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID636]はドメイン ローカル セキュリティ グループへのメンバの追加を表す。
どのアカウントに対して操作を実行したか
対象アカウント名 ○ [ID636]の[対象アカウント名]より確認可能。
対象アカウントの所属ドメイン
○ [ID636]の[対象ドメイン]より確認可能。
追加されたメンバのアカウント名
○ [ID636]の[メンバ ID]より確認可能。
追加されたメンバの所属ドメイン
○ [ID636]の[メンバ ID]より確認可能。
メンバ削除 誰が操作を実行したか ○ [ID637]の[ユーザー]、または[呼び出し側ユーザー名]/[ 呼び出し側ドメイン]より確認可能。
いつ操作を実行したか ○ [ID637]の[日付]、[時刻]より確認可能。
監査設定及び監査手順 73
監査対象 操作内容 監査要素 識別可否 備考
どんな操作を実行したか ○ [ID637]はドメイン ローカル セキュリティ グループからのメンバの削除を表す。
どのアカウントに対して操作を実行したか
対象アカウント名 ○ [ID637]の[対象アカウント名]より確認可能。
対象アカウントの所属ドメイン
○ [ID637]の[対象ドメイン]より確認可能。
削除されたメンバのアカウント名
○ [ID637]の[メンバ ID]より確認可能。
削除されたメンバの所属ドメイン
○ [ID637]の[メンバ ID]より確認可能。
管理者変更 誰が操作を実行したか ○ [ID566]の[ユーザー]、または[クライアント ユーザー名]/[ クライアント ドメイン]より確認可能。
いつ操作を実行したか ○ [ID566]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID566]の[プロパティの書き込み]より確認可能。(”managedBy”と記録される)
どのアカウントに対して操作を実行したか
対象アカウント名 ○ [ID566]の[オブジェクトの名前]より確認可能。
対象アカウントの所属ドメイン
○ [ID566]の[オブジェクトの名前]より確認可能。
管理者に指定されたユーザーのアカウント名
×
74 マイクロソフト サーバー製品のログ監査ガイド
監査対象 操作内容 監査要素 識別可否 備考
管理者に指定されたユーザーの所属ドメイン
×
Domain Admins,
Enterprise Admins
セキュリティ
グループ
メンバ追加 誰が操作を実行したか ○ [ID632]の[ユーザー]、または[呼び出し側ユーザー名]/[ 呼び出し側ドメイン]より確認可能。
いつ操作を実行したか ○ [ID632]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID632]はグローバル セキュリティ グループへのメンバの追加を表す。
どのアカウントに対して操作を実行したか
対象アカウント名 ○ [ID632]の[対象アカウント名]より確認可能。
対象アカウントの所属ドメイン
○ [ID632]の[対象ドメイン]より確認可能。
追加されたメンバのアカウント名
○ [ID632]の[メンバ ID]より確認可能。
追加されたメンバの所属ドメイン
○ [ID632]の[メンバ ID]より確認可能。
メンバ削除 誰が操作を実行したか ○ [ID633]の[ユーザー]、または[呼び出し側ユーザー名]/[ 呼び出し側ドメイン]より確認可能。
いつ操作を実行したか ○ [ID633]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID633]はグローバル セキュリティ グループからのメンバの削除を表す。
どのアカウ 対象アカウント名 ○ [ID633]の[対象アカウント名]より確認可能。
監査設定及び監査手順 75
監査対象 操作内容 監査要素 識別可否 備考
ントに対して操作を実行したか
対象アカウントの所属ドメイン
○ [ID633]の[対象ドメイン]より確認可能。
削除されたメンバのアカウント名
○ [ID633]の[メンバ ID]より確認可能。
削除されたメンバの所属ドメイン
○ [ID633]の[メンバ ID]より確認可能。
管理者変更 誰が操作を実行したか ○ [ID566]の[ユーザー]、または[クライアント ユーザー名]/[ クライアント ドメイン]より確認可能。
いつ操作を実行したか ○ [ID566]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID566]の[プロパティの書き込み]より確認可能。(”managedBy”と記録される)
どのアカウントに対して操作を実行したか
対象アカウント名 ○ [ID566]の[オブジェクトの名前]より確認可能。
対象アカウントの所属ドメイン
○ [ID566]の[オブジェクトの名前]より確認可能。
管理者に指定されたユーザーのアカウント名
×
管理者に指定されたユーザーの所属ドメイン
×
アカウント名変更 誰が操作を実行したか ○ [ID685]の[ユーザー]、または[呼び出し側ユーザー名]/[ 呼び出し側ドメイン]より確認可能。
76 マイクロソフト サーバー製品のログ監査ガイド
監査対象 操作内容 監査要素 識別可否 備考
いつ操作を実行したか ○ [ID685]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID685]はアカウント名の変更を表す。
どのアカウントに対して操作を実行したか
対象アカウント名
(変更前)
○ [ID685]の[古いアカウント名]より確認可能。
対象アカウント名
(変更後)
○ [ID685]の[新しいアカウント名]より確認可能。
対象アカウントの所属ドメイン
○ [ID685]の[対象ドメイン]より確認可能。
監査設定及び監査手順 77
グループ ポリシーに関する操作
対象製品:Windows Server 2003
凡例:○…識別可能、△…操作内容の識別は不可能、×…識別不可能
監査対象 操作内容 監査要素 識別可否 備考
グループ ポリシー
内容の変更 誰が操作を実行したか ○ [ID566]の[ユーザー]、または[クライアント ユーザー名]/[ クライアント ドメイン]より確認可能。
いつ操作を実行したか ○ [ID566]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID566]の[プロパティの書き込み]より確認可能。(”versionNumber”と記録される)
どのグループ ポリシーに対して操作を実行したか
○ [ID566]の[オブジェクトの名前]より確認可能。
状態の変更 誰が操作を実行したか ○ [ID566]の[ユーザー]、または[クライアント ユーザー名]/[ クライアント ドメイン]より確認可能。
いつ操作を実行したか ○ [ID566]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID566]の[プロパティの書き込み]より確認可能。(”flags”と記録される)
どのグループ ポリシーに対して操作を実行したか
○ [ID566]の[オブジェクトの名前]より確認可能。
78 マイクロソフト サーバー製品のログ監査ガイド
監査対象 操作内容 監査要素 識別可否 備考
委任の変更 誰が操作を実行したか ○ [ID566]の[ユーザー]、または[クライアント ユーザー名]/[ クライアント ドメイン]より確認可能。
いつ操作を実行したか ○ [ID566]の[日付]、[時刻]より確認可能。
どんな操作を実行したか △ [ID566]が出力される。
権限の変更(プロパティに”WRITE_DAC”と表示される)までの情報となり、スコープ(フィルタ)の変更との識別はできない。
どのグループ ポリシーに対して操作を実行したか
○ [ID566]の[オブジェクトの名前]より確認可能。
スコープ(リンク)の
変更
誰が操作を実行したか ○ [ID566]の[ユーザー]、または[クライアント ユーザー名]/[ クライアント ドメイン]より確認可能。
いつ操作を実行したか ○ [ID566]の[日付]、[時刻]より確認可能。
どんな操作を実行したか ○ [ID566]の[プロパティの書き込み]より確認可能。(”gPLink”と記録される)
どのドメイン、組織単位(OU)等に対して操作を実行したか
○ [ID566]の[オブジェクトの名前]より確認可能。
スコープ(フィルタ)の変更
誰が操作を実行したか ○ [ID566]の[ユーザー]、または[クライアント ユーザー名]/[ クライアント ドメイン]より確認可能。
いつ操作を実行したか ○ [ID566]の[日付]、[時刻]より確認可能。
監査設定及び監査手順 79
監査対象 操作内容 監査要素 識別可否 備考
どのグループ ポリシーに対して操作を実行したか
○ [ID566]の[オブジェクトの名前]より確認可能。
どんな操作を実行したか △ [ID566]が出力される。
権限の変更(プロパティに”WRITE_DAC”と表示される)までの情報となり、委任の変更との識別はできない。
80 マイクロソフト サーバー製品のログ監査ガイド
注意事項 Windows Server 2003 にてログの収集及び監査を行う場合に、注意すべき項目については、別冊「マイクロソフト サーバー製品のログ監査ガイド-ファイルサーバー上のファイル操作における監査」をご参照下さい。
おわりに 81
おわりに 以上の各章にて、Active Directory 上の各種操作における監査について、監査可能な要素、および手順を記載してきました。
IT 統制における監査は、必ずしも専用のソリューション製品の導入や専門機関への委託なしに実現不可能なものではありません。
また、無作為なログの収集は、結果的に監査に必要となるコスト、時間、人員を増大させるのみならず、監査結果の信頼性を低める事態にも繋がる可能性があります。
適切かつ有効な監査を実施するためには、まず監査すべき情報や手順を明確化することが重要です。
監査対象とする要素の性質を把握し、それに見合った監査を検討されるにあたり、本書がその手助けとなりましたら幸いです。
82 マイクロソフト サーバー製品のログ監査ガイド
付録 1:イベント ログ一覧 対象製品:Windows Server 2003
No. Source ID Message 備考
1. Security 528 ログオンの成功:
ユーザー名:%1
ドメイン:%2
ログオン ID:%3
ログオンの種類:%4
ログオン プロセス:%5
認証パッケージ:%6
ワークステーション名:%7
ログオン GUID:%8
呼び出し側ユーザー名:%9
呼び出し側ドメイン:%10
呼び出し側ログオン ID:%11
呼び出し側プロセス ID:%12
移行されたサービス:%13
ソース ネットワーク アドレス:%14
ソース ポート:%15
%1…ログオンしたユーザーのユーザー名
%2…ログオンしたユーザーの所属ドメイン
%14…ユーザーがログオンしたサーバー /クライアント端末の IP アドレス
2. Security 538 ユーザーのログオフ:
ユーザー名:%1
ドメイン:%2
ログオン ID:%3
ログオンの種類:%4
%1…ログオフしたユーザーのユーザー名
%2…ログオフしたユーザーの所属ドメイン
3. Security 540 ネットワーク ログオンの成功:
ユーザー名:%1
ドメイン:%2
ログオン ID:%3
ログオンの種類:%4
ログオン プロセス:%5
認証パッケージ:%6
ワークステーション名:%7
ログオン GUID:%8
呼び出し側ユーザー名:%9
呼び出し側ドメイン:%10
呼び出し側ログオン ID:%11
%1…ログオンしたユーザーのユーザー名
%2…ログオンしたユーザーの所属ドメイン
%14…ユーザーがログオンしたサーバー /クライアント端末の IP アドレス
付録 1:イベント ログ一覧 83
No. Source ID Message 備考
呼び出し側プロセス ID:%12
移行されたサービス:%13
ソース ネットワーク アドレス:%14
ソース ポート:%15
4. Security 551 ログオフを開始したユーザー:
ユーザー名:%1
ドメイン:%2
ログオン ID:%3
%1…操作を実行したユーザー
%2…操作を実行したユーザーの所属ドメイン
5. Security 566 オブジェクトの操作:
オブジェクトのサーバー:%1
操作の種類:%2
オブジェクトの種類:%3
オブジェクトの名前:%4
ハンドル ID:%5
プライマリ ユーザー名:%6
プライマリ ドメイン:%7
プライマリ ログオン ID:%8
クライアント ユーザー名:%9
クライアント ドメイン:%10
クライアント ログオン ID:%11
アクセス数:%12
プロパティ:%13
追加情報 1:%14
追加情報 2:%15
アクセス マスク:%16
%4…操作対象オブジェクト
%9…操作を実行したユーザー
%10…操作を実行したユーザーの所属ドメイン
6. Security 624 ユーザー アカウントの作成:
新しいアカウント名:%1
新しいドメイン:%2
新しいアカウント ID:%3
呼び出し側ユーザー名:%4
呼び出し側ドメイン:%5
呼び出し側ログオン ID:%6
特権:%7
属性:
SAM アカウント名:%8
表示名:%9
ユーザー プリンシパル名:%10
ホーム ディレクトリ:%11
ホーム ドライブ:%12
%1…作成されたユーザーのアカウント名
%2…作成されたユーザーの所属ドメイン
%4…操作を実行したユーザー
%5…操作を実行したユーザーの所属ドメイン
84 マイクロソフト サーバー製品のログ監査ガイド
No. Source ID Message 備考
スクリプト パス:%13
プロファイル パス:%14
ユーザー ワークステーション:%15
最後に設定されたパスワード:%16
アカウントの有効期間終了日:%17
プライマリ グループ ID:%18
許可された委任先:%19
旧 UACの値:%20
新 UACの値:%21
ユーザー アカウント制御:%22
ユーザー パラメータ:%23
SID 履歴:%24
ログオン時間:%25
7. Security 626 ユーザー アカウントの有効化:
対象アカウント名:%1
対象ドメイン:%2
対象アカウント ID:%3
呼び出し側ユーザー名:%4
呼び出し側ドメイン:%5
呼び出し側ログオン ID:%6
%1…有効化されたユーザーのアカウント名
%2…有効化されたユーザーの所属ドメイン
%4…操作を実行したユーザー
%5…操作を実行したユーザーの所属ドメイン
8. Security 628 ユーザー アカウント パスワードの設定:
対象アカウント名:%1
対象ドメイン:%2
対象アカウント ID:%3
呼び出し側ユーザー名:%4
呼び出し側ドメイン:%5
呼び出し側ログオン ID:%6
%1…パスワード リセットされたユーザーのアカウント名
%2…パスワード リセットされたユーザーの所属ドメイン
%4…操作を実行したユーザー
%5…操作を実行したユーザーの所属ドメイン
9. Security 629 ユーザー アカウントの無効化: %1…無効化された
付録 1:イベント ログ一覧 85
No. Source ID Message 備考
対象アカウント名:%1
対象ドメイン:%2
対象アカウント ID:%3
呼び出し側ユーザー名:%4
呼び出し側ドメイン:%5
呼び出し側ログオン ID:%6
ユーザーのアカウント名
%2…無効化されたユーザーの所属ドメイン
%4…操作を実行したユーザー
%5…操作を実行したユーザーの所属ドメイン
10. Security 630 ユーザー アカウントの削除:
対象アカウント名:%1
対象ドメイン:%2
対象アカウント ID:%3
呼び出し側ユーザー名:%4
呼び出し側ドメイン:%5
呼び出し側ログオン ID:%6
特権:%7
%1…削除されたユーザーのアカウント名
%2…削除されたユーザーの所属ドメイン
%4…操作を実行したユーザー
%5…操作を実行したユーザーの所属ドメイン
11. Security 631 セキュリティが有効なグローバル グループの作成:
新しいアカウント名:%1
新しいドメイン:%2
新しいアカウント ID:%3
呼び出し側ユーザー名:%4
呼び出し側ドメイン:%5
呼び出し側ログオン ID:%6
特権:%7
属性:
SAM アカウント名:%8
SID 履歴:%9
%1…作成されたグローバル セキュリティ グループのアカウント名
%2…作成されたグローバル セキュリティ グループの所属ドメイン
%4…操作を実行したユーザー
%5…操作を実行したユーザーの所属ドメイン
12. Security 632 セキュリティが有効なグローバル グループ
メンバが追加されました:
%2…グローバル セキュリティ グループのメンバに追加
86 マイクロソフト サーバー製品のログ監査ガイド
No. Source ID Message 備考
メンバ名:%1
メンバ ID:%2
対象アカウント名:%3
対象ドメイン:%4
対象アカウント ID:%5
呼び出し側ユーザー名:%6
呼び出し側ドメイン:%7
呼び出し側ログオン ID:%8
特権:%9
されたアカウントの ID
%3…メンバにアカウントが追加されたグローバル セキュリティ グループのアカウント名
%4…メンバにアカウントが追加されたグローバル セキュリティ グループの所属ドメイン
%6…操作を実行したユーザー
%7…操作を実行したユーザーの所属ドメイン
13. Security 633 セキュリティが有効なグローバル グループ
メンバが削除されました:
メンバ名:%1
メンバ ID:%2
対象アカウント名:%3
対象ドメイン:%4
対象アカウント ID:%5
呼び出し側ユーザー名:%6
呼び出し側ドメイン:%7
呼び出し側ログオン ID:%8
特権:%9
%2…グローバル セキュリティ グループのメンバから削除されたアカウントの ID
%3…メンバからアカウントが削除されたグローバル セキュリティ グループのアカウント名
%4…メンバからアカウントが削除されたグローバル セキュリティ グループの所属ドメイン
%6…操作を実行したユーザー
%7…操作を実行したユーザーの所属ドメイン
14. Security 634 セキュリティが有効なグローバル グループが削除されました:
%1…削除されたグローバル セキュリ
付録 1:イベント ログ一覧 87
No. Source ID Message 備考
対象アカウント名:%1
対象ドメイン:%2
対象アカウント ID:%3
呼び出し側ユーザー名:%4
呼び出し側ドメイン:%5
呼び出し側ログオン ID:%6
特権:%7
ティ グループのアカウント名
%2…削除されたグローバル セキュリティ グループの所属ドメイン
%4…操作を実行したユーザー
%5…操作を実行したユーザーの所属ドメイン
15. Security 635 セキュリティが有効なローカル グループの作成:
新しいアカウント名:%1
新しいドメイン:%2
新しいアカウント ID:%3
呼び出し側ユーザー名:%4
呼び出し側ドメイン:%5
呼び出し側ログオン ID:%6
特権:%7
属性:
SAM アカウント名:%8
SID 履歴:%9
%1…作成されたドメイン ローカル セキュリティ グループのアカウント名
%2…作成されたドメイン ローカル セキュリティ グループの所属ドメイン
%4…操作を実行したユーザー
%5…操作を実行したユーザーの所属ドメイン
16. Security 636 セキュリティが有効なローカル グループ メンバが追加されました:
メンバ名:%1
メンバ ID:%2
対象アカウント名:%3
対象ドメイン:%4
対象アカウント ID:%5
呼び出し側ユーザー名:%6
呼び出し側ドメイン:%7
呼び出し側ログオン ID:%8
特権:%9
%2…ドメイン ローカル セキュリティ
グループのメンバに追加されたアカウントの ID
%3…メンバにアカウントが追加されたドメイン ローカル セキュリティ グループのアカウント名
%4…メンバにアカウントが追加されたドメイン ローカル セキュリティ グ
88 マイクロソフト サーバー製品のログ監査ガイド
No. Source ID Message 備考
ループの所属ドメイン
%6…操作を実行したユーザー
%7…操作を実行したユーザーの所属ドメイン
17. Security 637 セキュリティが有効なローカル グループ メンバが削除されました:
メンバ名:%1
メンバ ID:%2
対象アカウント名:%3
対象ドメイン:%4
対象アカウント ID:%5
呼び出し側ユーザー名:%6
呼び出し側ドメイン:%7
呼び出し側ログオン ID:%8
特権:%9
%2…ドメイン ローカル セキュリティ
グループのメンバから削除されたアカウントの ID
%3…メンバからアカウントが削除されたドメイン ローカル セキュリティ
グループのアカウント名
%4…メンバからアカウントが削除されたドメイン ローカル セキュリティ
グループの所属ドメイン
%6…操作を実行したユーザー
%7…操作を実行したユーザーの所属ドメイン
18. Security 638 セキュリティが有効なローカル グループが削除されました:
対象アカウント名:%1
対象ドメイン:%2
対象アカウント ID:%3
呼び出し側ユーザー名:%4
呼び出し側ドメイン:%5
呼び出し側ログオン ID:%6
特権:%7
%1…削除されたドメイン ローカル セキュリティ グループのアカウント名
%2…削除されたドメイン ローカル セキュリティ グループの所属ドメイン
%4…操作を実行したユーザー
付録 1:イベント ログ一覧 89
No. Source ID Message 備考
%5…操作を実行したユーザーの所属ドメイン
19. Security 639 セキュリティが有効なローカル グループが変更されました:
対象アカウント名:%1
対象ドメイン:%2
対象アカウント ID:%3
呼び出し側ユーザー名:%4
呼び出し側ドメイン:%5
呼び出し側ログオン ID:%6
特権:%7
変更された属性:
SAM アカウント名:%8
SID 履歴:%9
%1…変更されたドメイン ローカル セキュリティ グループのアカウント名
%2…変更されたドメイン ローカル セキュリティ グループの所属ドメイン
%4…操作を実行したユーザー
%5…操作を実行したユーザーの所属ドメイン
20. Security 641 セキュリティが有効なグローバル グループが変更されました:
対象アカウント名:%1
対象ドメイン:%2
対象アカウント ID:%3
呼び出し側ユーザー名:%4
呼び出し側ドメイン:%5
呼び出し側ログオン ID:%6
特権:%7
変更された属性:
SAM アカウント名:%8
SID 履歴:%9
%1…変更されたグローバル セキュリティ グループのアカウント名
%2…変更されたグローバル セキュリティ グループの所属ドメイン
%4…操作を実行したユーザー
%5…操作を実行したユーザーの所属ドメイン
21. Security 642 ユーザー アカウントの変更:
対象アカウント名:%1
対象ドメイン:%2
対象アカウント ID:%3
呼び出し側ユーザー名:%4
呼び出し側ドメイン:%5
呼び出し側ログオン ID:%6
特権:%7
変更された属性:
%1…変更されたユーザーのアカウント名
%2…変更されたドメイン ローカル ユーザーの所属ドメイン
%4…操作を実行し
90 マイクロソフト サーバー製品のログ監査ガイド
No. Source ID Message 備考
SAM アカウント名:%8
表示名:%9
ユーザー プリンシパル名:%10
ホーム ディレクトリ:%11
ホーム ドライブ:%12
スクリプト パス:%13
プロファイル パス:%14
ユーザー ワークステーション:%15
最後に設定されたパスワード:%16
アカウントの有効期間終了日:%17
プライマリ グループ ID:%18
許可された委任先:%19
旧 UACの値:%20
新 UACの値:%21
ユーザー アカウント制御:%22
ユーザー パラメータ:%23
SID 履歴:%24
ログオン時間:%25
たユーザー
%5…操作を実行したユーザーの所属ドメイン
22. Security 685 アカウント名が変更されました:
古いアカウント名:%1
新しいアカウント名:%2
対象ドメイン:%3
対象アカウント ID:%4
呼び出し側ユーザー名:%5
呼び出し側ドメイン:%6
呼び出し側ログオン ID:%7
特権:%8
%1…変更前のアカウント名
%2…変更後のアカウント名
%3…アカウント名が変更されたアカウントの所属ドメイン
%5…操作を実行したユーザー
%6…操作を実行したユーザーの所属ドメイン
付録 2:関連情報 91
付録 2:関連情報 Active Directory 上の各種操作の監査に関連する、次の情報について記述します。
ADSI Edit
ADSI Edit を用いて、イベント ログに記録されたグループ ポリシーの識別名から表示名を確認する方法について記述します。
また、Windows Server 2003 におけるイベント ログ収集及び監査に関する次の情報については、別冊「マイクロソフトサーバー製品のログ監査ガイド-ファイルサーバー上のファイル操作における監査」をご参照ください。
イベント ログのファイル出力
[イベント ビューア]より、イベント ログをファイル出力する手順について記述しています。
Excel を使用したイベント ログの確認
CSV ファイルに出力したイベント ログ情報を、Excel のオートフィルタ機能を使用して確認する手順について記述しています。
Log Parser 2.2
マイクロソフトより無償で提供されている[Log Parser 2.2]のインストール手順、及び[Log Parser 2.2]を使用したイベント ログの収集手順について記述しています。
Dump Event Log
Windows 2000 Server リソース キットより提供されている[Dump Event Log]のインストール手順、及び[Dump Event Log]を使用したイベント ログの出力手順について記述しています。
92 マイクロソフト サーバー製品のログ監査ガイド
ADSI Edit 対象製品:Windows Server 2003
ADSI Edit を使用して、イベント ログに出力されたグループ ポリシーの識別名から表示名を確認することができます。
Support Tools のインストール
ADSI Edit は、Windows Server 2003 の Support Tools に含まれています。
Support Tools のインストール手順を、次に示します。
1. 管理者アカウントにて、ドメイン コントローラにログオンします。
2. CD-ROM ドライブに Windows Server 2003 のインストール CD を挿入し、「CD-
ROM Drive:\SUPPORT\TOOLS」ディレクトリにある[SUPTOOLS.exe]をダブルクリックして実行します。
3. [Welcome to the Windows Support Tools Setup Wizard]が開いたら、[Next]をクリックします。
4. [End User License Agreement]に遷移したら、内容を確認して[I Agree]を選択し、[Next]をクリックします。
付録 2:関連情報 93
5. [User Information]に遷移したら、任意のユーザー情報を入力して、[Next]をクリックします。
6. [Distination Directory]に遷移したら、任意のインストール先ディレクトリを指定して、[Install Now]をクリックし、インストールを開始します。
7. [Completing the Windows Support Tools Setup Wizard]に遷移したら、[Finish]をクリックします。
94 マイクロソフト サーバー製品のログ監査ガイド
以上で、Support Tools のインストール手順は終了となります。
ADSI Edit を使用したグループ ポリシー表示名の確認
Support Tools のインストールが完了したら、ADSI Edit を使用して、イベント ログに記録されたグループ ポリシーの識別名から、表示名を特定します。
手順を、次に示します。
1. 管理者アカウントにてドメイン コントローラにログオンし、[ID566]イベント
ログのプロパティより、対象とするグループ ポリシーの識別名を確認します。
※ グループ ポリシーの識別名の確認方法については、p.52「グループ ポリシーに関する操作」を参照して下さい。
2. [スタート]メニューより[ファイル名を指定して実行]をクリックし、[名前]に「adsiedit.msc」と入力して、[OK]をクリックします。
付録 2:関連情報 95
3. [ADSI Edit]が開いたら、左ペインのツリーより、[ADSI Edit]-[Domain]-[対象ドメインの DN 名]-[CN=System]と展開し、[CN=Policies]をクリックします。
4. 右ペインの一覧より、№1 で確認したグループポリシーの識別名を右クリックして、[プロパティ]を選択します。
96 マイクロソフト サーバー製品のログ監査ガイド
5. プロパティが開いたら、[Attributes]リストボックスより、[displayName]の値を確認します。
以上で、ADSI Edit を使用した表示名の確認は終了となります。