none
オブジェクト アクセスの監査について教えてください RRS feed

  • 質問

  • 現在サーバの共有フォルダにユーザがアクセスしたログを取ろうとしています。

    方法を調べたところActive Directoryのグループポリシーのローカルポリシーでオブジェクト アクセスの監査を有効にする方法と

    ドメインコントローラーのローカルポリシーでオブジェクト アクセスの監査を有効にする方法があるのは分かったのですが、

    2つの違いがわかりません。どちらで監査を有効にするべきでしょうか?

     

    どなたか分かる方教えてください。

    2008年8月27日 2:45

回答

  • グループポリシーは[ローカル]-[サイト]-[ドメイン]-[OU]などの種類があり、この順番に適用されます。

    同じポリシーを設定した場合には、基本的には最後に適用されたポリシーが有効になります。

     

    ご質問の「Active Directoryのグループポリシーのローカルポリシー」というのは先の[ドメイン]に該当する部分のことをいわれている

    のだと思いますので、ドメイン全体に適用されます(Default Domain policyを見られていると思います)。

    また、「ドメインコントローラーのローカルポリシー」は先の[OU]に該当する部分で、実際にはドメインコントローラにだけ適用されます(Default Domain Controllers policyを見られていると思います)。

     

    両者の違いは設定した監査ポリシーが、ドメイン全体のコンピュータに適用されるか、ドメインコントローラにだけ適用されるかの違いです。

    特定のサーバーでのみ監査を行うのであれば、目的のサーバーを集めたOUを作成し、そのOUのポリシーで監査の設定を行う方法もありますし、個別のサーバー毎にgpedit.mscコマンドによりそのサーバーのローカルポリシーで設定することも可能です。

     

    ただ、オブジェクトアクセスの監査は、ポリシーで監査の設定をしても監査対象のフォルダで監査の設定を行わないと監査ログは取られませんので、ドメイン全体に適用しておき、監査を行いたいフォルダにのみ監査設定を行うという方法もあるかもしれません。

    2008年8月27日 4:35
  • Default Domain Policy  ドメイン全体に適用されるポリシー

    Default Domain Controllers Policy ドメインコントローラのみに適用されるポリシー

    と考えて下さい。

     

    該当のファイルサーバーが入っているOU(組織単位)に「オブジェクトアクセスの監査」を定義したポリシーをリンクするか、Default Domain Policyの下に「オブジェクトアクセスの監査」を定義したポリシーをリンクし、該当のファイルサーバーの監査を行うフォルダーで監査の設定をするということになります。Default Domain Controllers Policyを編集して「オブジェクトアクセスの監査」を定義してもドメインコントローラのみのフォルダの監査しかできません。

     

    下記をダウンロードして読んでみて下さい。

    http://download.microsoft.com/download/A/5/8/A58AF361-D829-4EB6-B248-D552696AD81D/logauditfile.pdf

     

    2008年8月27日 4:55

すべての返信

  • グループポリシーは[ローカル]-[サイト]-[ドメイン]-[OU]などの種類があり、この順番に適用されます。

    同じポリシーを設定した場合には、基本的には最後に適用されたポリシーが有効になります。

     

    ご質問の「Active Directoryのグループポリシーのローカルポリシー」というのは先の[ドメイン]に該当する部分のことをいわれている

    のだと思いますので、ドメイン全体に適用されます(Default Domain policyを見られていると思います)。

    また、「ドメインコントローラーのローカルポリシー」は先の[OU]に該当する部分で、実際にはドメインコントローラにだけ適用されます(Default Domain Controllers policyを見られていると思います)。

     

    両者の違いは設定した監査ポリシーが、ドメイン全体のコンピュータに適用されるか、ドメインコントローラにだけ適用されるかの違いです。

    特定のサーバーでのみ監査を行うのであれば、目的のサーバーを集めたOUを作成し、そのOUのポリシーで監査の設定を行う方法もありますし、個別のサーバー毎にgpedit.mscコマンドによりそのサーバーのローカルポリシーで設定することも可能です。

     

    ただ、オブジェクトアクセスの監査は、ポリシーで監査の設定をしても監査対象のフォルダで監査の設定を行わないと監査ログは取られませんので、ドメイン全体に適用しておき、監査を行いたいフォルダにのみ監査設定を行うという方法もあるかもしれません。

    2008年8月27日 4:35
  • Default Domain Policy  ドメイン全体に適用されるポリシー

    Default Domain Controllers Policy ドメインコントローラのみに適用されるポリシー

    と考えて下さい。

     

    該当のファイルサーバーが入っているOU(組織単位)に「オブジェクトアクセスの監査」を定義したポリシーをリンクするか、Default Domain Policyの下に「オブジェクトアクセスの監査」を定義したポリシーをリンクし、該当のファイルサーバーの監査を行うフォルダーで監査の設定をするということになります。Default Domain Controllers Policyを編集して「オブジェクトアクセスの監査」を定義してもドメインコントローラのみのフォルダの監査しかできません。

     

    下記をダウンロードして読んでみて下さい。

    http://download.microsoft.com/download/A/5/8/A58AF361-D829-4EB6-B248-D552696AD81D/logauditfile.pdf

     

    2008年8月27日 4:55
  •  

    お二人方、早速の返答感謝いたします。

    適用される順番と監査の対象範囲が違うのですね。

     

    早速監査を有効にしてログを取ってみます。

    この度はありがとう御座いました。

    2008年8月27日 6:52
  • こんにちは。

    フォーラムオペレーターの鈴木裕子です

     

    r505r2000 さん、疑問が解消されたようでよかったです。

     

    こちらの情報を、多くの方々に活用していただきたく、

    勝手ながら私のほうで回答チェックをつけさせていただきました。

    r505r2000 さんはチェックの解除ができますので、もし不適切な場合はご修正ください。

     

    これからもForumをご活用くださいね。

    それでは!

    2008年9月1日 5:00
    モデレータ