4.複数の管理者アカウントを作成する
前段では、可能な限り通常のユーザーアカウントを使用し、管理者権限が必要な作業をする必要があるときだけ管理者アカウントを使うことが大事だと述べた。しかしこれは、管理者としての作業が必要な時には、ドメイン管理者アカウントを使うという意味ではない。
組織内に複数の管理者がいる場合は、それぞれに個別の管理者アカウントを作成すべきだ。これなら、管理者権限が必要な行為が行われたとき、誰がそれを行ったかを知ることができる。例えば、John Doeという名前の管理者がいる場合には、そのユーザーのために2つのアカウントを作成するといいだろう。1つは普段使う通常アカウントで、もう1つは必要な場合にだけ使う管理者アカウントだ。これらのアカウントの名前は、例えばそれぞれJohnDoeとAdmin-JohnDoeというようにする。
5.監査ログを取りすぎない
われわれは記録可能なイベントをすべて追跡するような監査ポリシーを作成してしまいがちだが、何ごともさじ加減が大切だ。監査が過剰だと、監査ログの大きさも巨大なものになり、ログから調べたい項目を見つけるのはほとんど不可能ということになりかねない。あらゆるイベントを記録するよりも、問題になることが多いイベントだけを監査するようにした方がよい。
6.ローカルセキュリティポリシーを活用する
Active Directoryベースのグループポリシーを設定しても、ローカルセキュリティポリシーを設定する必要がなくなるわけではない。グループポリシー設定は、ドメインアカウントを使ってログインしたときにしか適用されない。もしユーザーがローカルアカウントを使ってマシンにログインしてしまったら、何の役にも立たないわけだ。ローカルセキュリティポリシーは、ローカルアカウントが使われた場合に、マシンの保護に役立つ。
