リソース属性定義の監視
リソース属性定義の監視
このトピックは IT プロフェッショナル向けに、動的アクセス制御オブジェクトを監視するための高度なセキュリティ監査オプションを使用する際に、リソース属性定義の変更を監視する方法について説明します。 リソース属性定義は、リソースが「高いビジネス価値」と定義されることの意味など、リソース属性の基本的なプロパティを定義します。リソース属性定義は、リソースプロパティコンテナの下に AD DS に保存されます。これらの定義の変更は、リソースに適用されるリソース属性が変更されていなくても、リソースを管理する保護を大幅に変更する可能性があります。変更は他の AD DS オブジェクトと同様に監視できます。
ファイルに適用されるリソース属性の変更を監視する方法については、ファイルとフォルダーのリソース属性を監視するを参照してください。
次の手順を使用して、AD DS でリソース属性定義の変更を監視するための設定を構成し、変更を確認します。これらの手順は、中央アクセスポリシー、クレーム、およびその他のコンポーネントを含む動的アクセス制御をネットワークに構成および展開したことを前提としています。まだネットワークに動的アクセス制御を展開していない場合は、中央アクセスポリシーの展開 (デモンストレーション手順)を参照してください。
注: サーバーの動作は、インストールされているオペレーティングシステムのバージョンとエディション、アカウントの権限、およびメニュー設定によって異なる場合があります。
リソース属性の変更を監視するための設定を構成するには
- ドメイン管理者の資格情報を使用してドメインコントローラーにサインインします。
- サーバーマネージャーで、ツールをポイントし、グループポリシーの管理をクリックします。
- コンソールツリーで、デフォルトのドメインコントローラーのグループポリシーオブジェクトを右クリックし、編集をクリックします。
- コンピューターの構成をダブルクリックし、セキュリティの設定をクリックし、詳細監査ポリシーの構成を展開し、システム監査ポリシーを展開し、DSアクセスをクリックし、ディレクトリサービスの変更を監査をダブルクリックします。
- 次の監査イベントを構成するチェックボックスを選択し、成功チェックボックス(必要に応じて失敗チェックボックスも)を選択し、OKをクリックします。
- グループポリシー管理エディターを閉じます。
- Active Directory管理センターを開きます。
- 動的アクセス制御の下で、リソースプロパティを右クリックし、プロパティをクリックします。
- セキュリティタブをクリックし、詳細設定をクリックして詳細セキュリティ設定ダイアログボックスを開き、監査タブをクリックします。
- 追加をクリックし、コンテナのセキュリティ監査設定を追加し、すべてのセキュリティプロパティダイアログボックスを閉じます。
AD DSでリソース属性の変更を監視するための設定を構成した後、変更が監視されていることを確認します。
リソース定義の変更が監視されていることを確認するには
- ドメイン管理者の資格情報を使用してドメインコントローラーにサインインします。
- Active Directory管理センターを開きます。
- 動的アクセス制御の下で、リソースプロパティをクリックし、リソース属性をダブルクリックします。
- このリソース属性を変更します。
- OKをクリックし、Active Directory管理センターを閉じます。
- サーバーマネージャーで、ツールをクリックし、イベントビューアーをクリックします。
- Windowsログを展開し、セキュリティをクリックします。セキュリティログにイベント5137が表示されることを確認します。