Principales respuestas
Auditoria en Servidor de Archivos Windows 2008 R2

Pregunta
-
Respuestas
-
Hola Sebastian
Lo primero que tienes que tener en cuenta es que solo se auditan los eventos que ocurren después de habilitar la auditoría, nunca los anteriores, por lo que no te servirá para averiguar quien borró un archivo antes, sino que te permitirá saber lo ocurrido a partir de este momento.
Se debe activar en dos partes: primero tienes que editar las políticas locales del servidor (o hacerlo mediante GPO si quieres que afecte a más de un equipo) e irte a la rama Configuración de Equipo - Configuración de Windows - Configuración de Seguridad - Directivas locales - Directiva de Auditoría, y en ella habilitar "Auditar el acceso a objetos", tanto los correctos como los erroneos.
El siguiente paso es irte al volumen del servidor que contiene los datos, determinar cual es la carpeta cuyo contenido (y subcarpetas) quieres auditar, y en ella editar sus propiedades, pestaña seguridad, botón opciones avanzadas, pestaña auditoría, botón editar, botón agregar; añades entonces los usuarios o grupos cuyas acciones quieres auditar en esa rama de carpetas, y les marcas las casillas en aquellos eventos que les quieres auditar (en tu caso, eliminar carpetas y archivos).
El resultado lo verás en el visor de sucesos, rama seguridad.
Saludos
José Antonio Quílez
Mi Blog- Propuesto como respuesta Ismael Borche lunes, 25 de abril de 2011 14:59
- Marcado como respuesta Ismael Borche martes, 26 de abril de 2011 14:54
Todas las respuestas
-
Hola Sebastian
Lo primero que tienes que tener en cuenta es que solo se auditan los eventos que ocurren después de habilitar la auditoría, nunca los anteriores, por lo que no te servirá para averiguar quien borró un archivo antes, sino que te permitirá saber lo ocurrido a partir de este momento.
Se debe activar en dos partes: primero tienes que editar las políticas locales del servidor (o hacerlo mediante GPO si quieres que afecte a más de un equipo) e irte a la rama Configuración de Equipo - Configuración de Windows - Configuración de Seguridad - Directivas locales - Directiva de Auditoría, y en ella habilitar "Auditar el acceso a objetos", tanto los correctos como los erroneos.
El siguiente paso es irte al volumen del servidor que contiene los datos, determinar cual es la carpeta cuyo contenido (y subcarpetas) quieres auditar, y en ella editar sus propiedades, pestaña seguridad, botón opciones avanzadas, pestaña auditoría, botón editar, botón agregar; añades entonces los usuarios o grupos cuyas acciones quieres auditar en esa rama de carpetas, y les marcas las casillas en aquellos eventos que les quieres auditar (en tu caso, eliminar carpetas y archivos).
El resultado lo verás en el visor de sucesos, rama seguridad.
Saludos
José Antonio Quílez
Mi Blog- Propuesto como respuesta Ismael Borche lunes, 25 de abril de 2011 14:59
- Marcado como respuesta Ismael Borche martes, 26 de abril de 2011 14:54
-
Hola a todos.
Yo tengo el mismo problema pero con la diferencia de que mi servidor de archivos y mi Dominio están en equipos diferentes.
Probé la respuesta de José Antonio, pero no me arroja nada en el visor de eventos, y creo que es por que la carpeta que quiero auditar esta en otro equipo diferente de mi controlador de dominio.
Si me pueden ayudar con esto se los agradecería, por que es un dolor de cabeza cuando borran un archivo y no sabres quien lo hizo!
-
Hola Ekel,
Si no te importa abre un nuevo hilo con tu problema, así no revivimos mensajes del 2011.
La GPO la creas y la vinculas a la OU donde se encuentre el servidor que quieres auditar, son los mismos pasos pero la GPO la enlazas a la OU de tu server.
Daniel Graciá - Madrid / España
MCSA 2012, MCSA 2008, MCITP Enterprise Admin
MCTS SCOM 2007, Windows Vista Configuration
MCSA 2003 + Security, MCSE 2003 + Security
MCP ISA SERVER 2000,ITIL Foundation v3
El Blog de Dani Gracia
Dani Gracia en Twitter
Dani Gracia en LinkedIn -
hola.
si el dominio y tu servidor de archivos los tienes en equipos diferentes solo implementa la GPO en el dominio lo configuras para que guarde eventos correctos e incorrectos y vas a tu servidor de archivos e implementar la auditoria (tu servidor de archivos esta en el dominio)con el rango de ip y como DNS la IP del dominio.
Slds.