ドメイン・コントローラへのローカル・ログオンの記録を残したい

あなたはActive Directoryドメインを管理している。セキュリティ対策の1つとして，ドメイン・コントローラへのローカル・ログオンの記録を残すことになった。この設定を行うためにあなたがすべきことは何か。また，記録を参照するにはどうすればよいか。正しいものを2つ選びなさい。 １：Default Domain Policyで［ログオンイベントの監査］を有効にする。 ２：Default Domain Controllers Policyで［ログオンイベントの監査］を有効にする。 ３：ローカル・セキュリティ・ポリシーの［ログオンイベントの監査］を有効にする。 ４：イベント・ビューアの［アプリケーション］を調べる。 ５：イベント・ビューアの［セキュリティ］を調べる。 ６：イベント・ビューアの［システム］を調べる。 正しいものを2つ選んでください。 正解：2, 5

　監査を行うにはグループ・ポリシーの設定が必要である。Windows 2000以前は監査を一切行わないのが既定値だった。Windows Server 2003では，いくつかの項目が既定で監査されるが十分ではない。必要に応じて監査設定を追加しよう。ただし，グループ・ポリシーは，複数のレベルで同じ項目を設定できる場合がある。そのときは，ローカル→サイト→ドメイン→上位OU→下位OUの順に優先度が高まるので注意したい（図1[拡大表示]）。

図1●グループ・ポリシーの優先順位< [画像のクリックで拡大表示]

図2●ドメイン・コントローラに設定された既定のポリシー [画像のクリックで拡大表示]

　ファイルなどのオブジェクトを監査する場合は2段階の設定を行う。まず，オブジェクトが配置されたサーバー（例えば，ファイルの監査であれば，そのファイルを保持しているサーバー）のポリシーを設定する。次に，ファイルなどのオブジェクトのセキュリティ設定を変更し，監査の内容を設定する。

　問題はActive Directory関連の監査である。特に［ログオンイベントの監査］と［アカウントログオンの監査］は混乱しやすい。［ログオンイベント］は，ログオンの結果，使用を許可されたコンピュータを意味し，［アカウントログオン］は認証に成功したことを意味すると考えれば分かりやすい。

　ローカル・ログオンを監査するには［ログオンイベントの監査］を，ローカル・ログオン先のコンピュータに対して有効にしよう。

　設問では，ドメイン・コントローラ（DC）へのログオンを監査したいので，［Default Domain Controllers］というOUの既定のポリシーの設定を変更する（図2[拡大表示]）。ローカル・セキュリティ・ポリシーやドメイン・レベルの［Default Domain Policy］というポリシーは［Default Domain Controllers］の既定値［監査しない］の設定で上書きされるため，設定してもDCには無効である。

　［アカウントログオンイベントの監査］は認証を行ったコンピュータ（DC）に記録される。つまり，メンバー・サーバーやクライアントPCではなく，必ずDCに記録される仕組みだ。例外は，ローカル・ユーザー・アカウントを使ってログオンした場合である。この場合は，ローカル・ユーザー・アカウント・データベースを保持するコンピュータの監査設定が使われる。

　監査の結果は［イベントビューア］の［セキュリティ］ログで参照する。ログの監査情報を見られるのは既定ではAdministratorsグループのメンバーだけだが，グループ・ポリシーで変更することも可能である。