none
Auditar Inicio de Sesion RRS feed

  • Pregunta

  • Saludos partners :

    Estoy configurando la auditoria de inicio de sesion en mi server con 2008 r2

    YA configure la auditoria por el "Editor de Directiva de seguridad local" y tambien por "administracionn de directivas de grupo" y si me registran los sucesos de inicio y cierre de sesion...

    Pero No me dice que usuario lo hizo.. por ejemplo:juan peres.. remotos... etc

    Quiero que me diga Juan.perez inicio sesion o algo asi

    Gracias por su ayuda


    Juan Pablo Vidal http://juanvidal.wordpress.com
    martes, 24 de enero de 2012 15:07

Respuestas

  • En la Default Domain Controllers Policy, auditar Account Logon

    No la que es sólo Logon, ni en otra GPO

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marcado como respuesta Juan Vidal IT miércoles, 25 de enero de 2012 0:44
    martes, 24 de enero de 2012 21:00
    Moderador

Todas las respuestas

  • Hola,

    Que pasos seguiste para habilitar la auditoria hasta el momento?

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.
    martes, 24 de enero de 2012 17:47
    Moderador
  • En la Default Domain Controllers Policy, auditar Account Logon

    No la que es sólo Logon, ni en otra GPO

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marcado como respuesta Juan Vidal IT miércoles, 25 de enero de 2012 0:44
    martes, 24 de enero de 2012 21:00
    Moderador
  • Pues lo que hice fue:

    activar la auditoria en la default Domain Policy en las opciones:

    "auditar el acceso a objetos" Correcto, erroneo

    "auditar el acceso a servicios de directorio" Correcto, Erroneo

    "auditar eventos de inicio de Sesion" Correcto, Erroneo

    "auditar eventos de inicio de sesion de cuenta" Correcto, erroneo

    "auditar la administracion de cuentas" Correcto

    Otro asunto es que he puesto la auditoria en unas carpetas compartidas y aveces el servidor me dice en el visor de eventos lo siguiente:

    Dominio\user

    REcurso Compartido: \\*\Admin$ o si no sale \\*\IPC$ 

    No se a que se refiere

    Gracias por sus cmentarios

     


    Juan Pablo Vidal http://juanvidal.wordpress.com
    miércoles, 25 de enero de 2012 0:41
  • ya cuadre lo del inicio de cuenta ... pero lo de la informacion de recursos compartidos no lo entiendo todavia cuando sale:

    Dominio\user

    REcurso Compartido: \\*\Admin$ o si no sale \\*\IPC$ 


    Juan Pablo Vidal http://juanvidal.wordpress.com
    miércoles, 25 de enero de 2012 0:45
  • En la DEFAULT DOMAIN CONTROLLERS POLICY, no en la Default Domain Policy y para auditar inicios de sesión sólo "auditar inicios de sesión de cuenta"

    Para auditar el acceso a recursos debes marcar "auditar acceso a objetos" y luego lo que quieras auditar en *cada objeto*, en cada servidor donde se aplique la GPO.

    Cuidado con lo que tienes configurado :)
    Estás marcando auditoría en la Default Domain Policy (se aplicará a TODAS las máquinas del Dominio), y además muchas opciones. Eso no sólo te dificultará mucho la interpretación del log de seguridad, sino que además sobrecarga mucho al sistema

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 25 de enero de 2012 10:35
    Moderador
  • Gracias Guillermo ya corregi el asunto de las auditorias y me limite a dos cosas objetos e inicio de sesion

    y lo hice en el Domain controller policy

     


    Juan Pablo Vidal http://juanvidal.wordpress.com
    jueves, 26 de enero de 2012 17:09