【TechNetライブラリより】Active Directory Recycle Bin利用の監査

Active Directoryの認証システムとして採用されているKerberosに関するドキュメントを読むと、
よくAAA(認証、認可(承認)、アカウンティング)という言葉が出てきます。
Active Directoryは認証と承認については、きちんとした機能が実装されていると思うのですが、
アカウンティング(=監査としてよいのかな?)に関しては?というと、
胸を張って「これです」って言えるものがないような気がするのですよね。
そんなことをずいぶんと前から思っていて、このブログでもActive Directoryの監査ということに
スポットを当てていくつかの投稿をしてきました。
そんな折、マイクロソフトのTechNetライブラリで、少し私が注目した(というか、気になった)ドキュメントがありました。

■ ■ ■

Active Directory Recycle Bin (Active Directoryのごみ箱) に関して、利用方法が
マイクロソフトTechNetライブラリに掲載されています。

■Active Directoryのごみ箱の手順ガイド
http://technet.microsoft.com/ja-jp/library/dd392261(WS.10).aspx

こちらのTechNetライブラリのサイトをはじめ、様々なWebサイトで
既にActive Directory Recycle Binそのもののの利用方法については
解説されているので、ここに書くまでもないと思うのですが、私が気になったのは、
Active Directoryの監査メカニズムを利用するという解説です。

■監査メカニズムを利用する – Active Directoryのごみ箱の追加作業
http://technet.microsoft.com/ja-jp/library/dd392260(WS.10).aspx#BKMK_5

今回はActive Directoryのごみ箱を利用した場合に、どのような監査が可能か?について見てみたいと思います。

■事前準備
・グループポリシー
コンピューターの構成/ポリシー/Windowsの設定/セキュリティの設定/監査の詳細な設定/オブジェクトアクセス/ディレクトリサービスの監査-有効
・削除対象のオブジェクト
オブジェクトのプロパティ/セキュリティ/詳細設定/監査/Everyone – <監査するアクティビティ>
(オブジェクト単位で設定してもよいですが、現実にはオブジェクトが含まれるOUに設定することになると思います)

■オブジェクトの削除
ADオブジェクトとして、ここではユーザーを削除します。
今回はLabという名前のOUに作成したユーザーを削除します。
すると、削除したユーザーはDeleted Objectコンテナ(ごみ箱の場所)に移動し、
イベントログには、イベントID 5141のログを残します。

5141

TechNetライブラリの説明にもあるように、削除時刻(「ログの日付」部分 どうでも良いけど0:35にやることじゃないだろ?)や
削除処理を実行したアカウント(「セキュリティID EXAMPLEAdministrator」部分)が確認できますね。

■Active Directoryのごみ箱機能を使った削除したユーザーの復元
Active Directory Recycle Bin (Active Directoryのごみ箱) 機能を使って、
削除したユーザーを復元した場合、イベントID5138のログが記録されます。

5138

こちらも、復元した時刻(「ログの日付」部分)や
復元処理を実行したアカウント(「セキュリティID EXAMPLEAdministrator」部分)が確認できます。

ですので、オブジェクトの削除や復元に関する監査は、イベントIDの5141と5138で追跡していけば、
必要な情報が得られるということになります。
管理者が何人かいて、誰かが間違えてユーザーを消してしまった時には、
「誰だよ~、ユーザー消したの!」なんて愚痴っぽく言う前に、イベントログを見ればよいわけです。