• 締切済み
  • すぐに回答を!

ディレクトリサービスのアクセスの監査

2008Server、2008R2、2012Serverで ローカルセキュリティポリシーの「ディレクトリサービスのアクセスの監査」の成功、失敗を有効にしました。 このあとCドライブに対して、監査設定タブで、 「everyoneを対象として成功、失敗をフルコントロールで適用」 しようとしました。 すると、「Document Settings」や「pagefile」等で、 「セキュリティ情報を適用中にエラーが発生しました。アクセスが拒否されました」 と表示されます。 権限が足りないために出てるように思えるのですが、 「ディレクトリサービスのアクセスの監査」は、 Cとかのルートドライブとかに設定するのではなく、 フォルダ一つずつに設定するのが普通なのでしょうか? ご教示お願いします。

共感・応援の気持ちを伝えよう!

  • 回答数1
  • 閲覧数653
  • ありがとう数0

みんなの回答

  • 回答No.1
  • maesen
  • ベストアンサー率81% (646/790)

質問の本筋とは違う指摘になりますが >ローカルセキュリティポリシーの「ディレクトリサービスのアクセスの監査」の成功、失敗を有効にしました。 「ディレクトリサービスのアクセスの監査」はActive Directoryの監査です。 やりたいことを確認しますと「オブジェクト・アクセスの監査」のような気がします。 http://itpro.nikkeibp.co.jp/article/COLUMN/20061127/254976/ 本筋のほうですが、 >Cとかのルートドライブとかに設定するのではなく、 >フォルダ一つずつに設定するのが普通なのでしょうか? 監査の目的に依存しますので一概に言えないのですが、Cドライブ(システムドライブ)のルートには一般的に設定しません。 (Cのルートということは、Cドライブ全体ということと解釈しています) ただ、DドライブにデータのみがあってこれにDドライブ全体を監査の対象とすることは考えられます。 「オブジェクト・アクセスの監査」(と判断しています)は、パフォーマンスへの影響が大きな機能です。 システムドライブ全体に対してすべてのアクセスでログを取ったらどういう状態になるかは想像が付くと思います。 >すると、「Document Settings」や「pagefile」等で、 >「セキュリティ情報を適用中にエラーが発生しました。アクセスが拒否されました」 どうしてもCのルートから監査しなければならないのでしたら、 これらのシステム属性のファイルのアクセス権設定を変更するのは得策ではないと思いますので対象としないようにするほうが良いと思います。

共感・感謝の気持ちを伝えよう!

関連するQ&A

  • 特定ドライブのアクセスエラーログについて

    Windows 2000 Serverにおいて、管理者権限以外のユーザには、Cドライブを参照できないようにローカルセキュリティポリシーで制限し、管理者権限を持たないユーザがCドライブに対してアクセスした場合には、アクセスエラーがイベントログに記録できるように設定するとします。 アクセス制限はうまくできました。 ただし、アクセスエラーをイベントログに記録できません。現状、試しているローカルセキュリティポリシーは、監査ポリシーの「オブジェクトアクセスの監査」を「失敗」のみ有効にしています。 どうすれば適切にアクセスエラーが記録できるのが、心当たりのある方がおられましたら、ご教授ください。

  • 監査について

    社内の共有フォルダがあるのですが、そこに監査の設定を有効にさせて、誰がアクセスし、 どんなアクションをしたのか全てログに取りたいと考えています。 該当のフォルダの監査エントリに「Everyoneフルコントロール」にて全て(成功と失敗)を 設定しました。 これにより、イベントビューアーのセキュリティのイベントにログが上がってくるのでしょうか? それとも、そのフォルダ専用のイベントビューアーなどが作成されるのでしょうか? その辺りの動きが良く分かりません。 URLなどだけでも結構ですので、ご教授お願い致します。

  • イベントIDが529と680の失敗の監査について

    別の方が質問されていますが、ぜんぜん解決していませんので同内容で質問いたします。 内部統制に伴うサーバーセキュリティ対策として不正アクセス検出方法として、ローカルセキュリティポリシーでログオン/ログオフの監査を成功・失敗で設定したのですが、イベントビューアのセキュリティに失敗の監査としてイベントID:529と680の組み合わせで記録されています。ユーザー当人にこのサーバーにアクセスしたか確認しましたが、このサーバーには一切アクセスしていないそうです。 この失敗の監査が出ないようにするにはどうしたらいいのでしょうか?

  • 監査ポリシーの設定について

    どなたかご存知でしたら教えて下さい。 Windows2003ServerにてActiveDirectoryを構築し、ログの設定を行っております。 ローカルセキュリティポリシーを起動して、 [セキュリティの設定] → [ローカルポリシー] → [監査ポリシー]の中に各設定項目があるのですが、その中に 『ディレクトリ サービスのアクセスの監査』 という設定項目があります。 これはいったい何を意味するものなのでしょうか? この監査ログを取得するようにするとどのようなイベントがロギングされるのでしょうか?

  • (Windows Server 2003)「オブジェクトアクセスの監査」の設定方法

    環境:シングルドメイン、ファイルサーバ(ドメインのメンバサーバ)     ファイルサーバは、まとめてFSV_OUと言うOU内に整理している。      実施したい事:このファイルサーバ上の特定の共有フォルダに対して、          アクセスと試みた人の監査ログを取りたいです。 (1)FSV_OUのグループポリシーオブジェクトで「オブジェクトアクセスの監査」を有効にしました。   (とりあえずは、成功・失敗の両方をチェックする様に設定しました。) (2)監査したいファイルサーバ上の共有フォルダ(プロパティ)で監査エントリを作成。  (とりあえずは、Everyoneに設定しました。) (1)(2)を試したけど、イベントビューア(セキュリティ)何も表示されませんでした。 <そこで、質問です。> ・どの様に設定したら、上記のような事ができるのか教えてください。 ・また、オブジェクトアクセスの監査ログは、ドメインコントローラ上、それともファイルサーバ上、  どちらのサーバ上のイベントビューアに表示されるのでしょうか?

  • イベントビューアで失敗の監査が大量に

    Windows2003のサーバにイベントビューアを設定しました。翌日イベントビューアを確認した所、失敗の監査が出ていました。イベントIDが529と680の組み合わせで大量に記録されています。ユーザ名を元に当人が このサーバにアクセスしたどうか聞いた所一切このサーバには触れていないとの・・。 イベントID680って成功の監査なのに、失敗の監査で記録されているのもわかりません。初心的な質問かもしれませんが、どなたか原因がわかる方教えて下さい。

  • 監査ポリシーの設定がグレーアウトされていて変更できない

    Windows 2003 server Standard Edition SP1 の監査ポリシー(オブジェクト アクセスの監視)の設定がグレーアウトされているため変更できません。どうすれば「オブジェクトアクセスの監視」の設定ができるのでしょうか? ファイルサーバで、「誰がどのファイルを開いた(もしくは消した)」などをイベントログに残すために、監査ポリシーの「オブジェクトアクセスの監視」の設定を変更したいです。(最初は失敗にチェックがついている状態) 変更しようと思い「オブジェクトアクセスの監視」のプロパティを開いたところ、グレーアウトされており「成功」にチェックを入れることができません。Microsoftから提示されている「マイクロソフトサーバ製品のログ監査ガイド」を読みましたが、普通に成功にもチェックを入れることができるようです。(グレーアウトされていた場合の対処の記述は無し) もしかすると、何か手順を踏めば、このグレーアウトが解除されて「成功」にチェックを入れることができるのではないか? と思っていろいろ調べていますが見つかりませんので、知っている方がいましたらご教示ください。 その他情報 ・Administrator で監査ポリシーを変更しようとしたが、グレーアウトされていた。 ・パソコンに詳しくないためできれば「レジストリの変更」などは避けたい。 以上、よろしくお願いします。

  • ファイルサーバのアクセス権

    Windows2003serverを利用しています。サーバのDドライブに共有を設定しファイルサーバとして利用していましたが、今回フォルダ毎にアクセス権を設定することになりました。 Dドライブ→プロパティ→セキュリティの中にある「everyone」を外して、Dドライブ配下のフォルダにはアクセスさせたいユーザ名だけを登録すれば大丈夫だと思っていました。 しかしアクセスさせたいユーザ名だけを設定をしても他のユーザからも見えてほしくないフォルダが見えてしまいます。どこの設定が間違っているかわかりません。 知恵をお貸し下さい。また情報に不足がある場合ご指摘頂ければ幸いです。 宜しく御願い致します。

  • ボリュームに対するEveryoneのアクセス権

    いつも参考にさせていただいてます。 よろしくお願いします。 今回、ファイルサーバ(2000Server)の容量不足に伴い、 新しく2003Serverを導入いたしました。 旧サーバも今後、ファイルサーバとして利用します。 導入は業者様にしていただき、こちらで行う作業は 実際のデータの移動と、アクセス権の設定のみです。 データ移動作業は完了したのですが、 アクセス権の設定作業で、ふと疑問が出てきました。 旧サーバも新サーバも、 CドライブにOS Dボリューム内に共有フォルダを作成するというスタイルです。 Dボリュームを右クリックプロパティ→セキュリティを 確認しましたところ、 旧サーバ → Everyoneフル 新サーバ → Everyone読み取り となっています。 実際にユーザーさんに利用していただく共有フォルダにつきましては、 「共有フォルダのアクセス許可」 「NTFSのセキュリティ設定」 の2点で制御できると思っているのですが、 この、『ボリュームに対するEveryoneのアクセス権の違い』が、 運用セキュリティ上問題となる事はないでしょうか? サーバ本体に対し、ユーザーがAdmin権限以外でアクセスする ということはまず起こりえないと思うのですが、 よりセキュリティ向上が図られている2003サーバの デフォルトアクセス権に従い、 2000サーバのボリュームを同様の設定へと修正した方が安全では? とも思います。 (どうにも、Everyoneフルという響きは危険な感じがしてしまいます。) ただ、行動するとなりますと、 「2003がこうなってるからそれを真似た」 「危険な響きがする」 ではなく、 「~の点でセキュリティ上問題がある」と言った、 明確な根拠が欲しいのです。 どなたかお詳しい方、アドバイスよろしくお願い致します。

  • アクセス権の一括付与

    整理のために、外付けHDDに保存してあるファイルを、別のドライブにコピーや移動をしたいのですが、できなくなっています。 調べてみると、なぜかファイルごとにセキュリティ(アクセス権)が違っていて、Administratorだけにしか権限の無いものや、Everyoneにもアクセス権のあるものがあって、Administorator権限を持つユーザーでログインしても、Everyoneにアクセス権の無いファイルは移動もコピーもできないことがわかりました。 そこで質問ですが、 【質問1】Administorator権限のユーザーでアクセスしているのに、Administoratorがフルコントロールになっているファイルにアクセスできないのはなぜでしょう? 【質問2】そのファイルも、セキュリティタブでアクセス権設定を開き、Administoratorを追加して、再度セキュリティタブを開いてEveryoneにアクセス権を付与するとコピーや移動ができます。 しかしファイルが何千もあるので、特定のフォルダーの下のファイルすべてに一括でアクセス権を付与することはできないでしょうか?