監査ポリシーの変更
監査ポリシーの変更
ユーザー権利割り当てポリシー、監査ポリシー、または信頼ポリシーの変更のたびに監査するかどうかを決定します。
このポリシー設定を定義すると、成功の監査、失敗の監査、またはイベントタイプの監査を行わないかを指定できます。成功の監査は、ユーザー権利割り当てポリシー、監査ポリシー、または信頼ポリシーの変更が成功したときに監査エントリを生成します。失敗の監査は、ユーザー権利割り当てポリシー、監査ポリシー、または信頼ポリシーの変更が失敗したときに監査エントリを生成します。
この値を 監査なし に設定するには、このポリシー設定の プロパティ ダイアログボックスで、これらのポリシー設定を定義する チェックボックスを選択し、成功 と 失敗 チェックボックスをクリアします。
デフォルト:
- ドメインコントローラーで成功。
- メンバーサーバーで監査なし。
この監査設定を構成する
このセキュリティ設定は、コンピューターの構成\Windows 設定\セキュリティ設定\ローカル ポリシー\監査ポリシーで構成できます。
| ポリシー変更イベント | 説明 |
|---|---|
| 608 | ユーザー権利が割り当てられました。 |
| 609 | ユーザー権利が削除されました。 |
| 610 | 他のドメインとの信頼関係が作成されました。 |
| 611 | 他のドメインとの信頼関係が削除されました。 |
| 612 | 監査ポリシーが変更されました。 |
| 613 | インターネットプロトコルセキュリティ (IPSec) ポリシーエージェントが開始されました。 |
| 614 | IPSec ポリシーエージェントが無効になりました。 |
| 615 | IPSec ポリシーエージェントが変更されました。 |
| 616 | IPSec ポリシーエージェントが潜在的に重大な障害に遭遇しました。 |
| 617 | Kerberos ポリシーが変更されました。 |
| 618 | 暗号化データ回復ポリシーが変更されました。 |
| 620 | 他のドメインとの信頼関係が変更されました。 |
| 621 | アカウントにシステムアクセスが付与されました。 |
| 622 | アカウントからシステムアクセスが削除されました。 |
| 623 | ユーザーごとの監査ポリシーがユーザーに設定されました。 |
| 625 | ユーザーごとの監査ポリシーが更新されました。 |
| 768 | 1つのフォレスト内の名前空間要素と別のフォレスト内の名前空間要素の間で衝突が検出されました。注 1つのフォレスト内の名前空間要素が別のフォレスト内の名前空間要素と重複すると、名前空間要素の1つに属する名前の解決に曖昧さが生じる可能性があります。この重複は衝突とも呼ばれます。すべてのパラメーターが各エントリタイプに対して有効であるわけではありません。たとえば、DNS名、NetBIOS名、およびSIDなどのフィールドは、「TopLevelName」タイプのエントリには有効ではありません。 |
| 769 | 信頼されたフォレスト情報が追加されました。注: このイベントメッセージは、フォレスト信頼情報が更新され、1つ以上のエントリが追加されたときに生成されます。追加、削除、または変更されたエントリごとに1つのイベントメッセージが生成されます。フォレスト信頼情報の単一の更新で複数のエントリが追加、削除、または変更された場合、生成されたすべてのイベントメッセージには、操作IDと呼ばれる一意の識別子が1つあります。これにより、複数の生成されたイベントメッセージが単一の操作の結果であることを判断できます。すべてのパラメーターが各エントリタイプに対して有効であるわけではありません。たとえば、DNS名、NetBIOS名、およびSIDなどのパラメーターは、「TopLevelName」タイプのエントリには有効ではありません。 |
| 770 | 信頼されたフォレスト情報が削除されました。注: このイベントメッセージは、フォレスト信頼情報が更新され、1つ以上のエントリが追加されたときに生成されます。追加、削除、または変更されたエントリごとに1つのイベントメッセージが生成されます。フォレスト信頼情報の単一の更新で複数のエントリが追加、削除、または変更された場合、生成されたすべてのイベントメッセージには、操作IDと呼ばれる一意の識別子が1つあります。これにより、複数の生成されたイベントメッセージが単一の操作の結果であることを判断できます。すべてのパラメーターが各エントリタイプに対して有効であるわけではありません。たとえば、DNS名、NetBIOS名、およびSIDなどのパラメーターは、「TopLevelName」タイプのエントリには有効ではありません。 |
| 771 | 信頼されたフォレスト情報が変更されました。注: このイベントメッセージは、フォレスト信頼情報が更新され、1つ以上のエントリが追加されたときに生成されます。追加、削除、または変更されたエントリごとに1つのイベントメッセージが生成されます。フォレスト信頼情報の単一の更新で複数のエントリが追加、削除、または変更された場合、生成されたすべてのイベントメッセージには、操作IDと呼ばれる一意の識別子が1つあります。これにより、複数の生成されたイベントメッセージが単一の操作の結果であることを判断できます。すべてのパラメーターが各エントリタイプに対して有効であるわけではありません。たとえば、DNS名、NetBIOS名、およびSIDなどのパラメーターは、「TopLevelName」タイプのエントリには有効ではありません。 |
| 805 | イベントログサービスがセッションのセキュリティログ構成を読み取りました。 |