このシナリオでは、「集約型アクセス ポリシーの展開 (デモンストレーション手順)」で作成した Finance Policy を使用して、Finance Documents フォルダー内のファイルへのアクセスを監査します。 このフォルダーへのアクセスが許可されていないユーザーがこのフォルダーにアクセスしようとすると、イベント ビューアーでそのアクティビティがキャプチャされます。 このシナリオをテストするには、次の手順が必要です。
| タスク | 説明 |
|---|---|
| グローバル オブジェクト アクセスの構成 | この手順では、ドメイン コントローラーでグローバル オブジェクト アクセス ポリシーを構成します。 |
| グループ ポリシー設定の更新 | ファイル サーバーにサインインし、グループ ポリシーの更新を適用します。 |
| グローバル オブジェクト アクセス ポリシーが適用されていることを確認する | イベント ビューアーで関連するイベントを確認します。 これらのイベントには、国とドキュメント タイプのメタデータが含まれている必要があります。 |
グローバル オブジェクト アクセス ポリシーの構成
この手順では、ドメイン コントローラーでグローバル オブジェクト アクセス ポリシーを構成します。
グローバル オブジェクト アクセス ポリシーを構成するには
パスワード pass@word1を使用して、contoso\administrator としてドメイン コントローラー DC1 にサインイン します。
サーバー マネージャーで、[ ツール] をポイントし、[ グループ ポリシーの管理] をクリックします。
コンソール ツリーで、[ ドメイン] をダブルクリックし、[ contoso.com] をダブルクリックし、[ Contoso] をクリックして、[ ファイル サーバー] をダブルクリックします。
[FlexibleAccessGPO] を右クリックし、[編集] をクリックします。
[ コンピューターの構成] をダブルクリックし、[ ポリシー] をダブルクリックし、[ Windows の設定] をダブルクリックします。
[ セキュリティ設定] をダブルクリックし、[ 高度な監査ポリシーの構成] をダブルクリックし、[ 監査ポリシー] をダブルクリックします。
[オブジェクト アクセス] をダブルクリックし、[ファイル システムの監査] をダブルクリックします。
[ 次のイベントを構成する ] チェック ボックスをオンにし、[ 成功 ] チェック ボックスと [ 失敗 ] チェック ボックスをオンにして、[OK] をクリック します。
ナビゲーション ウィンドウで、[ グローバル オブジェクト アクセスの監査] をダブルクリックし、[ ファイル システム] をダブルクリックします。
[ このポリシー設定を定義 する] チェック ボックスをオンにし、[ 構成] をクリックします。
[ グローバル ファイル SACL のセキュリティの詳細設定] ボックスで、[ 追加] をクリックし、[ プリンシパルの選択] をクリックし、「 すべてのユーザー」と入力して、[ OK] をクリックします。
[グローバル ファイル SACL の監査エントリ] ボックスで、[アクセス許可] ボックスの [フル コントロール] を選択します。
[ 条件の追加] セクションで、[ 条件の追加 ] をクリックし、ドロップダウン リストで [リソース] [部署] [いずれかの] [値] [財務] を選択します。
[ OK] を 3 回クリックして、グローバル オブジェクト アクセス監査ポリシー設定の構成を完了します。
ナビゲーション ウィンドウで[ オブジェクト アクセス]をクリックし、結果ウィンドウで[ Audit Handle Manipulation]\(ハンドル操作の監査\) をダブルクリックします。 [次の監査イベント、成功、失敗の構成] をクリックし、[OK] をクリックして、フレキシブル アクセス GPO を閉じます。
グループ ポリシー設定の更新
この手順では、監査ポリシーを作成した後でグループ ポリシー設定を更新します。
グループ ポリシーの設定を更新するには
パスワード pass@word1を使用して、ファイル サーバー FILE1 に contoso\Administrator としてサインインします。
Windows キーを押しながら R キーを押し、「 cmd 」と入力してコマンド プロンプト ウィンドウを開きます。
注意
[ ユーザー アカウント制御 ] ダイアログ ボックスが表示されたら、表示されるアクションが目的のアクションであることを確認し、[ はい] をクリックします。
「gpupdate /force」と入力し、Enter キーを押します。
グローバル オブジェクト アクセス ポリシーが適用されたことの検証
グループ ポリシーの設定が適用された後、監査ポリシーの設定が正しく適用されたことを検証できます。
グローバル オブジェクト アクセス ポリシーが適用されたことを検証するには
クライアント コンピューター CLIENT1 に Contoso\MReid としてサインインします。 フォルダー HYPERLINK "file:///\\\\ID_AD_FILE1\\Finance" \\ FILE1\Finance Documents に移動し、Word Document 2 を変更します。
contoso\administrator としてファイル サーバー FILE1 にサインインします。 イベント ビューアーを開き、 Windows ログを参照し、[ セキュリティ] を選択し、アクティビティによって監査イベント 4656 と 4663 が発生したことを確認します (作成、変更、削除したファイルまたはフォルダーに対して明示的な監査 SACL を設定していない場合でも)。
重要
有効なアクセス許可が確認されているユーザーのために、リソースが配置されているコンピューター上で新しいログオン イベントが生成されます。 ユーザー サインイン アクティビティのセキュリティ監査ログを分析する場合、有効なアクセス許可が原因となって生成されるログオン イベントと対話型のネットワーク ユーザー サインインが原因となって生成されるログオン イベントを区別するために、偽装レベル情報が含められます。 有効なアクセス許可が原因となってログオン イベントが生成される場合、偽装レベルは Identity です。 対話型のネットワーク ユーザー サインインでは、通常、偽装レベルが Impersonation または Delegation のログオン イベントが生成されます。