ポリシー変更の監査
ユーザー権利の割り当てポリシー、監査ポリシー、または信頼ポリシーへの各変更を監査するかどうかを決定します。
このポリシー設定を定義する場合、成功を監査するか、失敗を監査するか、またはすべてのイベントの種類を監査しないかを指定できます。成功の監査は、ユーザー権利の割り当てポリシー、監査ポリシー、または信頼ポリシーへの変更が成功した場合に監査エントリを生成します。失敗の監査は、ユーザー権利の割り当てポリシー、監査ポリシー、または信頼ポリシーへの変更が失敗した場合に監査エントリを生成します。
この値を [監査しない] に設定するには、このポリシー設定の [プロパティ] ダイアログ ボックスで、[これらのポリシーの設定を定義する] チェック ボックスを選択して [成功] と [失敗] のチェック ボックスをオフにします。
既定:
ドメイン コントローラーでは [成功]。
メンバー サーバーでは [監査しない]。
この監査設定の構成
コンピューターの構成\Windows 設定\セキュリティの設定\ローカル ポリシー\監査ポリシーの下でこのセキュリティ設定を構成できます。
| ポリシー変更イベント | 説明 |
|---|---|
| 608 | ユーザー権限が割り当てられました。 |
| 609 | ユーザー権限が削除されました。 |
| 610 | 別のドメインとの信頼関係が作成されました。 |
| 611 | 別のドメインとの信頼関係が削除されました。 |
| 612 | 監査ポリシーが変更されました。 |
| 613 | インターネット プロトコル セキュリティ (IPSec) ポリシー エージェントが開始されました。 |
| 614 | IPSec ポリシー エージェントが無効になりました。 |
| 615 | IPSec ポリシー エージェントが変更されました。 |
| 616 | IPSec ポリシー エージェントが、重大なエラーの可能性を検出しました。 |
| 617 | Kerberos ポリシーが変更されました。 |
| 618 | 暗号化データの回復ポリシーが変更されました。 |
| 620 | 別のドメインとの信頼関係が変更されました。 |
| 621 | アカウントにシステム アクセスが許可されました。 |
| 622 | アカウントからシステム アクセスが削除されました。 |
| 623 | ユーザーにユーザー別の監査ポリシーが設定されました。 |
| 625 | ユーザー別の監査ポリシーが更新されました。 |
| 768 | フォレストの名前空間要素と別のフォレストの名前空間要素との間での競合が検出されました。 注 フォレストの名前空間要素が別のフォレストの名前空間要素と重複する場合、いずれかの名前空間要素に属する名前の解決時に不明確になる可能性があります。この重複は競合とも呼ばれます。必ずしもすべてのパラメーターがエントリの各種類に対して有効ではありません。たとえば、DNS 名、NetBIOS 名、SID などのフィールドは、'TopLevelName' の種類のエントリに対して有効ではありません。
|
| 769 | 信頼されたフォレスト情報が追加されました。注 このイベント メッセージは、フォレストの信頼情報が更新され、1 つまたは複数のエントリが追加された場合に生成されます。追加、削除、または変更されたエントリごとに 1 つのイベント メッセージが生成されます。フォレスト信頼情報の 1 回の更新で複数のエントリが追加、削除、または変更された場合は、すべての生成されたイベント メッセージが操作 ID と呼ばれる単一の一意の識別子を持ちます。これにより、1 つの操作で複数のイベント メッセージが生成されたことが確認できます。必ずしもすべてのパラメーターがエントリの各種類に対して有効ではありません。たとえば、DNS 名、NetBIOS 名、SID などのパラメーターは、"TopLevelName" の種類のエントリに対して有効ではありません。
|
| 770 | 信頼されたフォレスト情報が削除されました。注 このイベント メッセージは、フォレストの信頼情報が更新され、1 つまたは複数のエントリが追加された場合に生成されます。追加、削除、または変更されたエントリごとに 1 つのイベント メッセージが生成されます。フォレスト信頼情報の 1 回の更新で複数のエントリが追加、削除、または変更された場合は、すべての生成されたイベント メッセージが操作 ID と呼ばれる単一の一意の識別子を持ちます。これにより、1 つの操作で複数のイベント メッセージが生成されたことが確認できます。必ずしもすべてのパラメーターがエントリの各種類に対して有効ではありません。たとえば、DNS 名、NetBIOS 名、SID などのパラメーターは、"TopLevelName" の種類のエントリに対して有効ではありません。
|
| 771 | 信頼されたフォレスト情報が変更されました。注 このイベント メッセージは、フォレストの信頼情報が更新され、1 つまたは複数のエントリが追加された場合に生成されます。追加、削除、または変更されたエントリごとに 1 つのイベント メッセージが生成されます。フォレスト信頼情報の 1 回の更新で複数のエントリが追加、削除、または変更された場合は、すべての生成されたイベント メッセージが操作 ID と呼ばれる単一の一意の識別子を持ちます。これにより、1 つの操作で複数のイベント メッセージが生成されたことが確認できます。必ずしもすべてのパラメーターがエントリの各種類に対して有効ではありません。たとえば、DNS 名、NetBIOS 名、SID などのパラメーターは、"TopLevelName" の種類のエントリに対して有効ではありません。
|
| 805 | イベント ログ サービスがセッションのセキュリティ ログ構成を読み取りました。 |