「ほっ」と。キャンペーン
ドメインコントローラでオブジェクトアクセス監査を有効にすると。。。
ドメインコントローラにファイルサーバも兼用させて、特定のファイルへのアクセス(書き込み)ログを残すように監査を設定しました。
(監査の設定はファイルのプロパティから、セキュリティの詳細設定で行えます。あと、グループポリシーで、オブジェクトアクセスの監査を有効にしないといけません。)


そうすると、下記のようなログが大量に発生するようになりました。(1分間に10回前後)

イベントの種類: 成功の監査
イベント ソース: Security
イベント カテゴリ: オブジェクト アクセス
イベント ID: 562
日付: 2010/04/03
時刻: 11:07:01
ユーザー: domainname\username
コンピュータ: domiancontroler
説明:
ハンドルのクローズ:
オブジェクト サーバー: Security Account Manager
ハンドル ID: 171497704
プロセス ID: 500
イメージ ファイル名: C:\WINDOWS\system32\lsass.exe


ITPro:Windows Server 2003で強化されたセキュリティ・ログ活用のポイントによると、オブジェクトアクセス監査を有効にするとSAMのオブジェクトに対するアクセス・イベントも記録されるようです。

ただ、この調子だとすぐにイベントログのファイルが一杯になってしまうのと、本来のファイルアクセスのログを見つけるのが面倒なのでなんとかならないか調べて見ました。

すると、MSサポート:イベント ID 560 およびイベント ID 562 がセキュリティ イベント ログに何度も記録されるに情報が載ってました。
原因の2番目に、ドメイン コントローラで監査を有効にすると、セキュリティ アカウント マネージャ (SAM) オブジェクトへの参照を含むログが残ると書かれてます。


対応策として、方法2のADSI Editを使うことにしました。(ADSI Editについては、(ADSI)ActiveDirectoryのオブジェクトの属性をのぞきたい参照)

手順としては下記のような感じです。
1.ADSI Editを立ち上げ、ツリールートの[ADSI Edit]のコンテキストメニューから[Connection]を押下。
2.[Select or type a Distinguished Name or Naming Context:]に CN=Server,CN=System,DC=Domain_Name,DC=Domain_Extension というように入力。
3.[Computer]のところは[Default (Domain or server that you logged in to)]にチェックし、OKボタンを押下。
e0091163_2164012.jpg


4.そうすると、ツリーに新たなオブジェクトができるので、ツリー展開し、[CN=Server,CN=System,DC=Domain_Name,DC=Domain_Extension]のコンテキストメニューからプロパティを押下。
e0091163_217186.jpg


5.[CN=Server,CN=System,DC=Domain_Name,DC=Domain_Extension Properties] ダイアログ ボックスでセキュリティタブを選択し、詳細設定を押下。

6.セキュリティダイアログが出てくるので監査タブを選択し、[子オブジェクトに適用する監査エントリを親から継承し、それらをここで明示的に定義されているものに含める]のチェックを外す。
e0091163_21112798.jpg

そうすると、[継承可能な監査エントリの、このオブジェクトへの伝達が妨げられています。操作を選んでください。]と聞かれるので、削除を選択。
e0091163_2174565.jpg

で、やってみたんですが、どうもうまくいってないようです。
もしかしたら再起動すればいいのかもしれませんが、簡単にはリブートできないサーバなので。。。。
[PR]
by jehoshaphat | 2010-06-27 21:11 | サーバがらみ | Trackback | Comments(0)
トラックバックURL : http://jehupc.exblog.jp/tb/12868536
トラックバックする(会員専用) [ヘルプ]
※このブログはトラックバック承認制を適用しています。 ブログの持ち主が承認するまでトラックバックは表示されません。


<< SSIってのがあったのか… (.Net,OpenOffic... >>