ドメインユーザーがドメイン内のコンピューターにログオンした時、ログオン先のコンピューターだけでなく、ドメインコントローラーにもイベントID (EID) 4624が記録されるのか?と疑問が湧きググってみた。
(検証できればそれが一番いいのだが、手元に検証環境が無かった。)
Microsoftの公式ページにて以下の記述を見つけた。
Account logon events are generated on domain controllers for domain account activity and on local devices for local account activity. If both account logon and logon audit policy categories are enabled, logons that use a domain account generate a logon or logoff event on the workstation or server, and they generate an account logon event on the domain controller.
上記によると、account logon監査ポリシーとlogon監査ポリシーの両方が有効化されていた場合、ドメインユーザーがドメイン内のコンピューターにログオンするとEID4624 (ログオン)や4634(ログオフ)などのイベントはログオン先のコンピューターで記録され、ドメインコントローラーではEID672を始めとした認証関連のイベントが記録される。。。という風に見受けられる。
一方で、同ページ内で以下のようにも記述されていた。
Additionally, interactive logons to a member server or workstation that use a domain account generate a logon event on the domain controller as the logon scripts and policies are retrieved when a user logs on.
上記によると、ドメインユーザーがドメインメンバーのコンピューターにログオンすると、ドメインコントローラーからログオン・スクリプトやポリシーを取得するため、ドメインコントローラーにEID4624が記録される。。。という風に見受けられる。
こちらのフォーラムではドメインユーザーがドメイン内のコンピューターにログオンした場合、EID4624はログオン先のコンピューターでのみ記録されると回答されている。
一方、こちらのフォーラムではドメインユーザーがドメイン内のコンピューターにログオンした場合、ドメインコントローラーにもEID4624が記録されると回答されている。
さらにこちらのフォーラムではドメイン内で発生するEID4624をドメインコントローラーで記録するには、そのように監査ポリシーを設定する必要があると回答されている。
また、こちらのホワイトペーパーの8ページ目や10ページ目にNTLM認証やKerberos認証の流れが図解されているのだが、ドメインコントローラー側でEID4624が記録される。。。というような記述は無かった。
正解は何だ?
結論
職場の同僚たちにも話してみて、ドメインユーザーがドメイン内のコンピューターにログオンした時、ドメインコントローラーにもEID 4624が記録されるか否かについては、「厳密には監査ポリシーの設定次第だが、(過去の経験から)大抵のドメイン環境ではドメインユーザーがドメイン内のコンピューターにログオンすると、ドメインコントローラーにもEID4624が記録されている場合が多い。」という結論に落ち着いた。
