none
ログオン失敗における特定ユーザーのみの監査ログ出力方法について RRS feed

  • 質問

  • クライアントPCでログオン失敗した場合に、ADサーバーのイベントビューアにユーザーを限定してクライアントPCのログオン失敗ログを出力させたいのですが、設定方法をご教授頂けますでしょうか。
    こちらで以下の内容で検証してみましたが期待した結果とはなりませんでした。

    ■手順
    1.[Active Directory ユーザーとコンピューター]で、ドメインノード直下にユーザー格納用OU、コンピューター格納用OUを作成。

    ユーザー格納用OUにユーザーA、ユーザーBを作成(権限はdefault)。
    コンピューター格納用OUにドメイン参加しているコンピューターを1台格納。


    2.[グループポリシーの管理]で、グループポリシーオブジェクトを作成。

    グループポリシーの設定内容は、[コンピュータの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[監査ポリシーの詳細な構成]-[監査ポリシー]-[ログオン/ログオフ]の[ログオンの監査]で、

    [次の監査イベントを構成する]:チェックあり
    [成功]:チェックなし
    [失敗]:チェックあり

    と設定する。


    3.手順2のグループポリシーオブジェクトの[スコープ]タブ内のセキュリティフィルター処理で、Authententicated Usersを削除、ユーザーAを追加する。


    4.手順1で作成した、コンピューター格納用OUに手順2のグループポリシーオブジェクトをリンクする。

    ※上記設定後、クライアントPCは再起動する。


    5.クライアントでユーザーBでログオン失敗させる。


    6.ADサーバーのイベントビューアを確認する。


    ■結果

    ADサーバーのイベントログには、失敗の監査ログ(イベントID:4625)は出力されないが、ユーザーAでログオン失敗した場合も出力されない。

    クライアントのイベントログにはユーザーA、ユーザーBでログオン失敗時のログが出力される。

    →実現したかった結果は、ユーザーBでログオン失敗した場合は、ADサーバーのイベントビューアに失敗の監査ログを出力しない。
    ユーザーAでログオン失敗した場合は、失敗の監査ログを出力する。


    よろしくお願いします。


    • 編集済み abba2016 2016年1月28日 4:05 結果の内容に誤りがあったため
    2016年1月27日 2:19

回答

すべての返信