ユーザーアカウント管理の監査
ユーザーアカウント管理の監査
ユーザーアカウント管理の監査は、特定のユーザーアカウント管理タスクが実行されたときにオペレーティングシステムが監査イベントを生成するかどうかを決定します。
イベントボリューム: 低。
このポリシー設定により、ユーザーアカウントの変更を監査できます。イベントには以下が含まれます:
ユーザーアカウントが作成、変更、削除、名前変更、無効化、有効化、ロックアウト、またはロック解除される。
ユーザーアカウントのパスワードが設定または変更される。
セキュリティ識別子 (SID) がユーザーアカウントの SID 履歴に追加される、または追加に失敗する。
ディレクトリサービス復元モードのパスワードが設定される。
管理者ユーザーアカウントの権限が変更される。
ユーザーのローカルグループメンバーシップが列挙される。
資格情報マネージャーの資格情報がバックアップまたは復元される。
このサブカテゴリのいくつかのイベント、例えば 4722、4725、4724、および 4781 は、コンピューターアカウントにも生成されます。
| コンピューターの種類 | 一般的な成功 | 一般的な失敗 | 強力な成功 | 強力な失敗 | コメント |
|---|---|---|---|---|---|
| ドメインコントローラー | はい | はい | はい | はい | このサブカテゴリには、特にドメイン管理者、サービスアカウント、データベース管理者などの重要なドメインアカウントを監視するための多くの有用なイベントが含まれています。ドメインアカウントの無効なパスワード変更およびリセット試行、DSRM アカウントパスワード変更の失敗、および SID 履歴追加の失敗を主に確認するために、失敗の監査を推奨します。 |
| メンバーサーバー | はい | はい | はい | はい | 組み込みのローカル管理者およびその他の重要なアカウントに関連するすべてのローカルユーザーアカウントの変更を監視することをお勧めします。ローカルアカウントの無効なパスワード変更およびリセット試行を主に確認するために、失敗の監査を推奨します。 |
| ワークステーション | はい | はい | はい | はい | 組み込みのローカル管理者およびその他の重要なアカウントに関連するすべてのローカルユーザーアカウントの変更を監視することをお勧めします。ローカルアカウントの無効なパスワード変更およびリセット試行を主に確認するために、失敗の監査を推奨します。 |
イベントリスト:
4720(S): ユーザーアカウントが作成されました。
4722(S): ユーザーアカウントが有効化されました。
4723(S, F): アカウントのパスワードを変更しようとしました。
4724(S, F): アカウントのパスワードをリセットしようとしました。
4725(S): ユーザーアカウントが無効化されました。
4726(S): ユーザーアカウントが削除されました。
4738(S): ユーザーアカウントが変更されました。
4740(S): ユーザーアカウントがロックアウトされました。
4765(S): アカウントにSID履歴が追加されました。
4766(F): アカウントにSID履歴を追加しようとしましたが失敗しました。
4767(S): ユーザーアカウントのロックが解除されました。
4780(S): 管理者グループのメンバーであるアカウントにACLが設定されました。
4781(S): アカウントの名前が変更されました。
4794(S, F): ディレクトリサービス復元モードの管理者パスワードを設定しようとしました。
4798(S): ユーザーのローカルグループメンバーシップが列挙されました。
5376(S): 資格情報マネージャーの資格情報がバックアップされました。
5377(S): 資格情報マネージャーの資格情報がバックアップから復元されました。