イベントカテゴリの基本的な監査ポリシーを作成する

特定のイベントカテゴリに対して監査設定を定義することで、組織のセキュリティニーズに合った監査ポリシーを作成できます。ドメインに参加しているデバイスでは、イベントカテゴリの監査設定はデフォルトでは未定義です。ドメインコントローラーでは、監査はデフォルトでオンになっています。

この手順を完了するには、組み込みの Administrators グループのメンバーとしてログオンしている必要があります。

ローカルコンピューターのイベントカテゴリの監査ポリシー設定を定義または変更するには

ローカルセキュリティポリシーのスナップイン (secpol.msc) を開き、ローカルポリシー をクリックします。
監査ポリシー をクリックします。
結果ペインで、監査ポリシー設定を変更したいイベントカテゴリをダブルクリックします。
以下のいずれか、または両方を行い、OK をクリックします。
- 成功した試行を監査するには、成功チェックボックスを選択します。
- 失敗した試行を監査するには、失敗チェックボックスを選択します。

この手順を完了するには、Domain Admins グループのメンバーとしてログオンしている必要があります。

ドメインまたは組織単位のイベントカテゴリの監査ポリシー設定を定義または変更するには、メンバーサーバーまたはドメインに参加しているワークステーションで行う場合

グループポリシー管理コンソール (GPMC) を開きます。
コンソールツリーで、編集したい 既定のドメインポリシー グループポリシーオブジェクト (GPO) を含むフォレストとドメインの グループポリシーオブジェクト をダブルクリックします。
既定のドメインポリシー GPO を右クリックし、編集をクリックします。
GPMC で、コンピューターの構成、Windows の設定、セキュリティの設定 に移動し、監査ポリシー をクリックします。
結果ペインで、監査ポリシー設定を変更したいイベントカテゴリをダブルクリックします。
このイベントカテゴリの監査ポリシー設定を初めて定義する場合は、これらのポリシー設定を定義する チェックボックスを選択します。
以下のいずれか、または両方を行い、OK をクリックします。

追加の考慮事項

オブジェクトアクセスを監査するには、上記の手順に従ってオブジェクトアクセスイベントカテゴリの監査を有効にします。次に、特定のオブジェクトで監査を有効にします。
監査ポリシーが構成されると、イベントはセキュリティログに記録されます。これらのイベントを表示するには、セキュリティログを開きます。
ドメインコントローラーのデフォルトの監査ポリシー設定は No Auditing です。これは、ドメインで監査が有効になっていても、ドメインコントローラーはローカルで監査ポリシーを継承しないことを意味します。ドメイン監査ポリシーをドメインコントローラーに適用するには、このポリシー設定を変更する必要があります。