ディレクトリサービスのアクセスの監査

締切済

質問者：messinah
質問日時：2013/11/27 23:41
回答数：1件

2008Server、2008R2、2012Serverで
ローカルセキュリティポリシーの「ディレクトリサービスのアクセスの監査」の成功、失敗を有効にしました。

このあとCドライブに対して、監査設定タブで、
「everyoneを対象として成功、失敗をフルコントロールで適用」
しようとしました。

すると、「Document Settings」や「pagefile」等で、

「セキュリティ情報を適用中にエラーが発生しました。アクセスが拒否されました」
と表示されます。

権限が足りないために出てるように思えるのですが、
「ディレクトリサービスのアクセスの監査」は、
Cとかのルートドライブとかに設定するのではなく、
フォルダ一つずつに設定するのが普通なのでしょうか？

ご教示お願いします。

通報する

この質問への回答は締め切られました。

質問の本文を隠す

回答 (1件)

最新から表示
回答順に表示

No.1

回答者： maesen
回答日時：2013/11/28 09:44

質問の本筋とは違う指摘になりますが

＞ローカルセキュリティポリシーの「ディレクトリサービスのアクセスの監査」の成功、失敗を有効にしました。

「ディレクトリサービスのアクセスの監査」はActive Directoryの監査です。
やりたいことを確認しますと「オブジェクト・アクセスの監査」のような気がします。

http://itpro.nikkeibp.co.jp/article/COLUMN/20061 …

本筋のほうですが、

＞Cとかのルートドライブとかに設定するのではなく、
＞フォルダ一つずつに設定するのが普通なのでしょうか？

監査の目的に依存しますので一概に言えないのですが、Cドライブ（システムドライブ）のルートには一般的に設定しません。
（Cのルートということは、Cドライブ全体ということと解釈しています）
ただ、DドライブにデータのみがあってこれにDドライブ全体を監査の対象とすることは考えられます。

「オブジェクト・アクセスの監査」（と判断しています）は、パフォーマンスへの影響が大きな機能です。
システムドライブ全体に対してすべてのアクセスでログを取ったらどういう状態になるかは想像が付くと思います。

＞すると、「Document Settings」や「pagefile」等で、
＞「セキュリティ情報を適用中にエラーが発生しました。アクセスが拒否されました」

どうしてもCのルートから監査しなければならないのでしたら、
これらのシステム属性のファイルのアクセス権設定を変更するのは得策ではないと思いますので対象としないようにするほうが良いと思います。