Active Directoryでユーザーアカウントを無効にしたユーザーを検出する方法

誤ってまたは悪意のある方法でアカウントを無効にしたユーザーは、Windows認証を使用してITシステムにログインできなくなります。すでにログインしているユーザーは、メール、ファイル、SharePointなどにアクセスする際に問題が発生する可能性があります。

ここでは、Active Directory内のユーザーアカウントを無効にしたユーザーを簡単に検出する方法を紹介します。

Windows標準機能での監査 vs Netwrix Auditorでの監査

Windows標準機能での監査

  1. gpedit.mscを実行 → 新しいGPOを作成 → 編集 → [コンピュータの構成] → [ポリシー] → [Windowsの設定] → [セキュリティの設定] → [ローカルポリシー] → [監査ポリシー]
    • アカウント管理の監査 → 定義 → 成功
  2. イベントログ → 定義:
    • 最大セキュリティログサイズは4GB
    • セキュリティログの保存方法。必要に応じてイベントを上書きします
  3. ユーザーアカウントで新しいGPOをOUにリンクする → [グループポリシーの管理] → [定義済みのOUを右クリックして] → [既存のGPOをリンクする]を選択 → 作成したGPOを選択します。
  4. グループポリシーの更新を行う → 「グループポリシーの管理」 → 定義したOUを右クリック → 「グループポリシーの更新」をクリックします。
  5. ADSI編集 → 既定の名前付けコンテキストに接続 → ドメイン名でDomainDNSオブジェクトを右クリック → プロパティ → セキュリティ(タブ) → 詳細設定(ボタン) → 監査(タブ) → プリンシパルを追加「Everyone」 → タイプ「成功」 → [このオブジェクトと子孫オブジェクト] → [権限] → 次のものを除くすべてのチェックボックスをオンにします。
    • フルコントロール
    • リストの内容
    • すべてのプロパティを読み込む
    • 読み取り権限→「OK」をクリックします
  6. イベントビューアを開き、イベントID 4725(ユーザーアカウント管理タスクカテゴリ)のセキュリティログを検索します。

Netwrix Auditorでの監査

  1. Netwrix Auditorを実行→「Search」→Advanced→次のフィルタを設定します:
    • Audited System = Active Directory
    • Object Type = User.
  2. [変更]をクリックし、検索フィールドに「無効」と入力して[検索]をクリックします。
  3. その後、ドメイン内のどのアカウントを無効にしたのかが表示されます。

Active Directory内の無効なユーザーを検出し、無効にしたユーザーを特定する

ユーザーがWindows認証でITシステムにログインできない場合は、誤って実行されたシステム構成の変更も大きな原因の一つと考えられます。そのように、誤ってActive Directory内のユーザーを無効にする可能性があります。Active Directoryの無効になっているユーザーは、電子メール、ファイル、SharePointなどの重要なリソースにアクセスできず、シームレスな操作の流れを妨げる可能性があります。したがって、IT管理者は、アカウントが無効になったときを検出して、誰がActive Directoryのアカウントが無効となる変更を行ったのかを迅速に把握できる必要があります。

「Netwrix Auditor for Active Directory」には、Googleのようなインタラクティブ検索機能があり、IT管理者がActive Directoryの無効なアカウントを検出するのに役立ちます。また、Active Directory内のユーザーを無効にするなど各変更を行ったユーザーおよび変更が行われた時期など、ユーザーアカウントの変更を示す事前定義済みレポートも含まれています。さらに、「Netwrix Auditor for Active Directory」は、Active Directoryアカウントのステータスが変更されたときにリアルタイムアラートを送信できるため、IT管理者が無効なユーザーアカウントをより迅速に検出できるようになります。

Netwrix Newsとは?

Netwrix News はハイブリッドIT環境の構成・変更・アクセスの見える化を実現する Netwrix Auditor(ネットリックス オ―ディター)のメーカーであるNetwrix社のホームページ・ホワイトペーパー等で提供している、ITシステム監査に役立つ情報や、Netwrix Auditorを活用した効率的な監査方法をご紹介するコーナーです。最新の海外セキュリティ事情などお客様の検討課題や対策の参考にしてください。

Netwrix Newsとは?

Netwrix社ホームページ

Netwrix社ホームページはこちら(英語)