3流プログラマのメモ書き

元開発職→社内SE→派遣で営業支援の三流プログラマのIT技術メモ書き。 このメモが忘れっぽい自分とググってきた技術者の役に立ってくれれば幸いです。(jehupc.exblog.jpから移転中)

ドメインコントローラでオブジェクトアクセス監査を有効にすると。。。

ドメインコントローラにファイルサーバも兼用させて、特定のファイルへのアクセス(書き込み)ログを残すように監査を設定しました。

(監査の設定はファイルのプロパティから、セキュリティの詳細設定で行えます。あと、グループポリシーで、オブジェクトアクセスの監査を有効にしないといけません。)

そうすると、下記のようなログが大量に発生するようになりました。(1分間に10回前後)

イベントの種類: 成功の監査

イベント ソース: Security

イベント カテゴリ: オブジェクト アクセス

イベント ID: 562

日付: 2010/04/03

時刻: 11:07:01

ユーザー: domainname\username

コンピュータ: domiancontroler

説明:

ハンドルのクローズ:

オブジェクト サーバー: Security Account Manager

ハンドル ID: 171497704

プロセス ID: 500

イメージ ファイル名: C:\WINDOWS\system32\lsass.exe

ITPro:Windows Server 2003で強化されたセキュリティ・ログ活用のポイントによると、オブジェクトアクセス監査を有効にするとSAMのオブジェクトに対するアクセス・イベントも記録されるようです。

ただ、この調子だとすぐにイベントログのファイルが一杯になってしまうのと、本来のファイルアクセスのログを見つけるのが面倒なのでなんとかならないか調べて見ました。

すると、MSサポート:イベント ID 560 およびイベント ID 562 がセキュリティ イベント ログに何度も記録されるに情報が載ってました。

原因の2番目に、ドメイン コントローラで監査を有効にすると、セキュリティ アカウント マネージャ (SAM) オブジェクトへの参照を含むログが残ると書かれてます。

対応策として、方法2のADSI Editを使うことにしました。(ADSI Editについては、(ADSI)ActiveDirectoryのオブジェクトの属性をのぞきたい参照)

手順としては下記のような感じです。

1.ADSI Editを立ち上げ、ツリールートの[ADSI Edit]のコンテキストメニューから[Connection]を押下。

2.[Select or type a Distinguished Name or Naming Context:]に CN=Server,CN=System,DC=Domain_Name,DC=Domain_Extension というように入力。

3.[Computer]のところは[Default (Domain or server that you logged in to)]にチェックし、OKボタンを押下。

4.そうすると、ツリーに新たなオブジェクトができるので、ツリー展開し、[CN=Server,CN=System,DC=Domain_Name,DC=Domain_Extension]のコンテキストメニューからプロパティを押下。

5.[CN=Server,CN=System,DC=Domain_Name,DC=Domain_Extension Properties] ダイアログ ボックスでセキュリティタブを選択し、詳細設定を押下。

6.セキュリティダイアログが出てくるので監査タブを選択し、[子オブジェクトに適用する監査エントリを親から継承し、それらをここで明示的に定義されているものに含める]のチェックを外す。

そうすると、[継承可能な監査エントリの、このオブジェクトへの伝達が妨げられています。操作を選んでください。]と聞かれるので、削除を選択。

で、やってみたんですが、どうもうまくいってないようです。

もしかしたら再起動すればいいのかもしれませんが、簡単にはリブートできないサーバなので。。。。