none
Registro de cambio de politicas de seguridad RRS feed

  • Pregunta

  • Buenas a todos,

    La pregunta que quiero realizar es la siguiente, se puede de alguna forma saber cuando y que cambios hubo en una carpeta compartida en mi servidor Win2003 server con active directory.

    Más en concreto, esa carpeta se ha añadido acceso a un usuario y no se cuando se hizo.

    PD: No tengo activado el registro de auditoria en esa carpeta, hay alguna forma de saberlo sin esto activado.

    Saludos

    miércoles, 18 de julio de 2012 11:42

Respuestas

  • Hola Marcos,

    Lo que necesitas es habilitar la auditoria de acceso a objetos sobre las carpetas en cuestión. Si no lo tenias previamente, dudo que puedas rescatar esa info.

    Consta de 2 fases:

    1. Habilita por GPO las funciones de auditoria sobre acceso a objetos en una GPO cuya sección computer aplique sobre el servidor de ficheros que quieras auditar (la seccion es Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy\) . Aqui puedes seguir los pasos y tienes los diferentes eventos que registrar:

    http://technet.microsoft.com/en-us/library/cc776774(v=ws.10).aspx

    2. A parte, sobre el servidor de ficheros deberás habilitar las entradas de auditoria sobre las carpetas que quieras.

    A partir de aquí cualquier evento que hayas seleccionado a auditar sobre cualquier cuenta que eligieses quedará registrado en el visor de sucesos de seguridad del servidor de ficheros.

    http://technet.microsoft.com/en-us/library/cc784387(v=ws.10).aspx

    Saludos.

    Julio Rosua


    miércoles, 18 de julio de 2012 12:12

Todas las respuestas

  • Hola Marcos,

    Lo que necesitas es habilitar la auditoria de acceso a objetos sobre las carpetas en cuestión. Si no lo tenias previamente, dudo que puedas rescatar esa info.

    Consta de 2 fases:

    1. Habilita por GPO las funciones de auditoria sobre acceso a objetos en una GPO cuya sección computer aplique sobre el servidor de ficheros que quieras auditar (la seccion es Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy\) . Aqui puedes seguir los pasos y tienes los diferentes eventos que registrar:

    http://technet.microsoft.com/en-us/library/cc776774(v=ws.10).aspx

    2. A parte, sobre el servidor de ficheros deberás habilitar las entradas de auditoria sobre las carpetas que quieras.

    A partir de aquí cualquier evento que hayas seleccionado a auditar sobre cualquier cuenta que eligieses quedará registrado en el visor de sucesos de seguridad del servidor de ficheros.

    http://technet.microsoft.com/en-us/library/cc784387(v=ws.10).aspx

    Saludos.

    Julio Rosua


    miércoles, 18 de julio de 2012 12:12
  • Gracias por tu respuesta Julio,, lo que me comentas ya lo he estado mirando.

    Si alguien sabe si se puede saber algo sin tener activado la auditoria, porfavor que me lo comente.

    Saludos y de nuevo muchas gracias por tu respuesta.

    miércoles, 18 de julio de 2012 12:51