none
Auditar Logon Logoff Windows Seerver 2012 R2 RRS feed

  • Pregunta

  • Hola,

    tengo un DC con Windows Server 2012 R2, donde atacan varios servidores y muchos equipos con Windows 10.

    He activado las opciones de auditar el Login de los equipos y los usuarios pero tengo el siguiente problema:

    Me muestra el equipo que se loguea pero no el usuario que ha hecho el login.

    He activado la opción Audit Account logon events y Audit Logon, todo esto en la Default Domain Controllers policy.

    Me podeis indicar si tengo que activar alguna más para que en el visor de sucesos me salga en cada entrada el usuario que ha intentado el login?

    Gracias.

    Un saludo.

    jueves, 23 de marzo de 2017 12:53

Todas las respuestas

  • Hola GarViSanti, el problema suele suceder porque por omisión los clientes siempre tratan de usar "cached credentials". Si el usuario ya inició sesión en una máquina, dentro de su perfil en forma cifrada y oculta está su contraseña, y el sistema utiliza esto para aumentar la velocidad de inicio de sesión. Muchas veces el usuario inicia sesión y la red aún no levantó

    Puedes probar esto simplemente creado un usuario nuevo de prueba

    Si fuera así entonces prueba lo siguiente pero en la "Default Domain Policy" Computer Configuration / Policies / Administrative Templates / System / Logon / Alway wait for the network at computer startup and logon

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 23 de marzo de 2017 19:42
    Moderador
  • Gracias Gillermo por la respuesta.

    He probado lo que me dices pero el viso de sucesos me sigue mostrando en la parte de Subject el nombre y el dominio con una raya.

    Ha habido alguna vez que me ha apareciso en ese mismo sitio el nombre del servidor y en el dominio el nombre del dominio.

    Yo lo que necesito es poder exportar en cualquier momento el visor de sucesos y ver que usuarios se han logueado en que ordenadores y cuando.

    Gracias.

    viernes, 24 de marzo de 2017 8:37
  • Es raro eso ¿haz revisado que ninguno de los eventos muestra el usuario? porque normalmente son varios los eventos generados, y hay uno sólo donde en los detalles puedes ver el nombre de usuario

    Realmente mucho más no conozco de este problema, quizás algún compañero pueda darte una mejor ayuda

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M lunes, 27 de marzo de 2017 17:13
    • Votado como útil Moderador M lunes, 27 de marzo de 2017 17:13
    viernes, 24 de marzo de 2017 10:01
    Moderador