Windows Server 2008 Active Directory 監査の続き
「やめられない、止まらない・・・」とは、有名なお菓子だけではなく、検証作業も同じですね。ってことで、たまっていたメールの処理をしつつ再度環境を作りなおして検証中です。。。
で、こちらの投稿では Windows Server 2008 Active Directory の監査について書き、今回は Auditpol コマンドの続きです。
***
Auditpol コマンドは、監査設定情報をバックアップしたりリストア(復元)したりできると書きましたが、ファイルの中を除くとWindows 側で処理している監査項目名やGUIDがわかります。また、Auditpol 監査設定の前と後にとったバックアップファイルを比較することで、どこが変わったのかを確認することもできます。
例えば、”Exclution Setting” が「成功」の項目で"Setting Value” を見ると、監査が有効だと 「1」、無効だと 「0」 だったりします。
また、"Excletion Setting" には、「成功」の他に「失敗」「監査なし」「成功および失敗」・・・というものがあり、「成功および失敗」では”Setting Value"に「3」 という数字も使われています。
success:disable にすると”Excletion Settings”が「成功および失敗」から「失敗」へと変わり、"Setting Value"が「2」に変わったりするため、この2つの組み合わせを正しく把握すれば、メモ帳を使って机上で設定ができるようになりますね。
ということで、結局は「AuditPol コマンドで実現できる監査設定は、ファイルとして持ち歩ける」ということに気付いたわけです。
考えてみれば当たり前のことですが、ちょっと嬉しい(^.^)
さて、
1:監査設定とファイル内の記述の関係
2:Auditpol での設定と Active Directory のオブジェクトのプロパティで設定できる監査設定との違い
の両方を正しく把握せねば。。。 でも、いつやろう
