NTLM 認証監査をオンにして、ドメイン/DC に対して NTLM を使用して認証しようとしている一部のクライアントに関する詳細情報を収集したいと考えています。具体的には、以下を有効にします。
- ネットワーク セキュリティ: NTLM を制限する: このドメインの NTLM 認証を監査する
- ネットワーク セキュリティ: NTLM の制限: 受信 NTLM トラフィックの監査
これに関連する以下の記事を見つけました:
https://technet.microsoft.com/ja-jp/library/jj852254(v=ws.11).aspx より
https://support.symantec.com/en_US/article.HOWTO79508.html
これらのポリシーをどこに適用するかに関して、記事は少し重複し、互いに多少対立しているようです。Technet の記事自体には、GPO を作成/適用する場所に関する具体的な説明はありません。
私の質問は次のとおりです。
これらのポリシーはどこで有効にすればよいのでしょうか? デフォルトのドメイン コントローラー ポリシーですか? ドメイン レベルで新しい監査ポリシーが適用されていますか? ドメイン コントローラー OU で新しい監査ポリシーが適用されていますか?
答え1
DC とメンバー サーバーの両方をカバーする必要があります。一部の設定は DC にのみ意味があるため、私は別々にしています。DC は認証を処理するだけでなく、たとえば SMB 経由で NTLM のクライアントまたはサーバーになることもできることに注意してください。
こちらの構成セクションを参照してください: https://technet.microsoft.com/en-us/library/jj865682(v=ws.10).aspx