ファイルサーバー上の中央アクセスポリシーを監視する

ファイルサーバーに適用される中央アクセスポリシーを監視する

この記事では、動的アクセス制御オブジェクトを監視するために高度なセキュリティ監査オプションを使用する際に、ファイルサーバーに適用される中央アクセスポリシー (CAP) の変更を監視する方法について説明します。CAP はドメインコントローラー上で作成され、グループポリシー管理を通じてファイルサーバーに適用されます。

ファイルサーバー上の CAP セットの変更を監視するために使用されるセキュリティ監査設定を構成および確認するために、以下の手順を使用します。以下の手順は、ネットワーク内で動的アクセス制御 (CAP およびクレームを含む) を構成および展開したことを前提としています。まだネットワーク内で動的アクセス制御を展開していない場合は、中央アクセスポリシーの展開 (デモンストレーション手順) を参照してください。

中央アクセスポリシーの変更を監視するための設定を構成するには

1. ドメイン管理者の資格情報を使用してドメインコントローラーにサインインします。

2. サーバーマネージャーで、ツール をポイントし、グループポリシー管理 を選択します。

3. コンソールツリーで柔軟なアクセスグループポリシーオブジェクトを選択し、編集 を選択します。

4. コンピューターの構成 > セキュリティ設定 > 高度な監査ポリシーの構成 > ポリシーの変更 > その他のポリシー変更イベント を選択します。

   [!NOTE] このポリシー設定は、CAP の変更や信頼されたプラットフォームモジュールの構成変更など、他の方法ではキャプチャされない可能性のあるポリシー変更を監視します。

    

5. 次の監査イベントを構成する チェックボックスを選択し、成功 チェックボックス（必要に応じて 失敗 チェックボックスも）を選択して、OK を選択します。

ドメイン コントローラーで CAP を変更した後、ファイル サーバーに変更が適用され、適切なイベントが記録されていることを確認します。

中央アクセス ポリシーの変更を確認するには

1. ドメイン管理者の資格情報を使用してドメイン コントローラーにサインインします。
2. グループ ポリシー管理コンソールを開きます。
3. 既定のドメイン ポリシー を選択し、編集 を選択します。
4. コンピューターの構成 > ポリシー を選択し、Windows の設定 を選択します。
5. セキュリティの設定 > ファイル システム を選択し、CAP の管理 を選択します。
6. 表示されるウィザードで指示に従って新しい CAP を追加し、OK を選択します。
7. 変更した CAP の対象となるリソースをホストするサーバーにローカル管理者の資格情報を使用してサインインします。
8. Windows ロゴ キー+R を選択し、cmd と入力してコマンド プロンプト ウィンドウを開きます。

[!NOTE] ユーザー アカウント制御 ダイアログ ボックスが表示された場合は、表示されるアクションが目的のものであることを確認し、はい を選択します。  

9. gpupdate /force と入力し、Enter キーを押します。
10. サーバー マネージャーで ツール を選択し、イベント ビューアー を選択します。
11. Windows ログ を展開し、セキュリティ を選択します。セキュリティ ログにイベント 4819 が表示されることを確認します。

関連リソース

• 動的アクセス制御オブジェクトを監視するための高度なセキュリティ監査オプションの使用