監査グループメンバーシップ
監査グループメンバーシップ
監査グループメンバーシップを使用すると、クライアントコンピューターで列挙されたときにグループメンバーシップを監査できます。
このポリシーを使用すると、ユーザーのログオン トークン内のグループ メンバーシップ情報を監査できます。このサブカテゴリのイベントは、ログオン セッションが作成されたコンピューターで生成されます。
インタラクティブなログオンの場合、セキュリティ監査イベントはユーザーがログオンしたコンピューターで生成されます。ネットワークログオンの場合(たとえば、ネットワーク上の共有フォルダーにアクセスする場合)、セキュリティ監査イベントはリソースをホストしているコンピューターで生成されます。
監査ログオン サブカテゴリも有効にする必要があります。
グループメンバーシップ情報が単一のセキュリティ監査イベントに収まらない場合、複数のイベントが生成されます。
イベントボリューム:
クライアントコンピューターでは低い。
ドメインコントローラーまたはネットワークサーバーでは中程度。
| コンピューターの種類 | 一般的な成功 | 一般的な失敗 | 強力な成功 | 強力な失敗 | コメント |
|---|---|---|---|---|---|
| ドメインコントローラー | はい | いいえ | はい | いいえ | ログインしたユーザーのグループメンバーシップ情報は、特定のドメインまたはローカルグループのメンバーがマシンにログインしたことを検出するのに役立ちます(たとえば、データベース管理者、組み込みのローカル管理者、ドメイン管理者、サービスアカウントグループ、またはその他の高価値グループのメンバー)。収集された情報の使用と分析に関する推奨事項については、セキュリティ監視の推奨事項セクションを参照してください。このサブカテゴリには失敗イベントがないため、失敗監査を有効にする推奨事項はありません。 |
| メンバーサーバー | はい | いいえ | はい | いいえ | ログインしたユーザーのグループメンバーシップ情報は、特定のドメインまたはローカルグループのメンバーがマシンにログインしたことを検出するのに役立ちます(たとえば、データベース管理者、組み込みのローカル管理者、ドメイン管理者、サービスアカウントグループ、またはその他の高価値グループのメンバー)。収集された情報の使用と分析に関する推奨事項については、セキュリティ監視の推奨事項セクションを参照してください。このサブカテゴリには失敗イベントがないため、失敗監査を有効にする推奨事項はありません。 |
| ワークステーション | はい | いいえ | はい | いいえ | ログインしたユーザーのグループメンバーシップ情報は、特定のドメインまたはローカルグループのメンバーがマシンにログインしたことを検出するのに役立ちます(たとえば、データベース管理者、組み込みのローカル管理者、ドメイン管理者、サービスアカウントグループ、またはその他の高価値グループのメンバー)。収集された情報の使用と分析に関する推奨事項については、セキュリティ監視の推奨事項セクションを参照してください。このサブカテゴリには失敗イベントがないため、失敗監査を有効にする推奨事項はありません。 |
イベントリスト:
- 4627(S): グループメンバーシップ情報。