none
Saber en que estaciones (workstations) se ha logueado un usuario. RRS feed

  • Pregunta

  • Hola, me podrian ayudar a como sacar un historial de un usuario de active directory (Windows Server 2012) para saber en que maquinas (workstations) se ha logueado en los ultimos 2-3 meses.??

    De igual manera si se puede sacar en que IP's ah estado mejor..

    Todo esto dentro del mismo Dominio, por ejemplo RAFAEL.CORP
    Se que si voy manualmente por maquina, metiendome en la carpeta users veo quienes se han logueado, pero son aprox 100 computadoras en el sitio.

    Tambien tengo conocimiento de saber por cmd que usuarios estan conectados en que maquina.

    Pero no eh hayado solucion a mi problema. Espero puedan ayudarme.

    Saludos

    martes, 24 de febrero de 2015 23:36

Respuestas

  • Hola, ampliando un poco lo comentado por Alvaro, efectivamente has de habilitar la auditoría, pero has de tener en cuenta el tamaño de los LOGS, ya que dependiendo del tamaño que tengas configurado (los visores) podrás ser capaz de almacenar más o menos información, o lo que es lo mismo más o menos días.

    Llega un punto en el que los Logs de los visores de eventos debido a su tamaño pueden llegar a ser inmanejables. Por lo que una vez habilites la auditoría revisa cuanto pesa el LOG o o cuento crece por día. También intenta auditar unicamente lo meramente necesario, pues dependiendo del entorno en el que trabajes se pueden generar muchísimos eventos.



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    • Propuesto como respuesta Moderador M jueves, 26 de febrero de 2015 16:01
    • Marcado como respuesta Moderador M viernes, 27 de febrero de 2015 16:06
    miércoles, 25 de febrero de 2015 15:18
  • Hola,

    La unica manera de poder logear el logon de usuario es teniendo la Auditoria de Seguridad activada a nivel de DC. Si no estaba activada no se va poder saber de ninguna forma. 

    Para un futuro mejor habilitarla:

    Desde la GPO principal del Dominio> Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría del sistema, se puede elegir entre ocho configuraciones de directiva distintas en la categoría Inicio y cierre de sesión.

    A partid de ese momento se comenzaran a registrar estos eventos en el Visor de Eventos-Seguridad en cualquier DC.

    El evento para ver el inicio de sesion por usuario y/o maquina: ID  4624

    Mas info> https://technet.microsoft.com/en-us/library/dn319078.aspx

    Espero que sea de ayuda

    • Propuesto como respuesta Moderador M jueves, 26 de febrero de 2015 16:01
    • Marcado como respuesta Moderador M viernes, 27 de febrero de 2015 16:06
    miércoles, 25 de febrero de 2015 15:07

Todas las respuestas

  • Hola,

    La unica manera de poder logear el logon de usuario es teniendo la Auditoria de Seguridad activada a nivel de DC. Si no estaba activada no se va poder saber de ninguna forma. 

    Para un futuro mejor habilitarla:

    Desde la GPO principal del Dominio> Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría del sistema, se puede elegir entre ocho configuraciones de directiva distintas en la categoría Inicio y cierre de sesión.

    A partid de ese momento se comenzaran a registrar estos eventos en el Visor de Eventos-Seguridad en cualquier DC.

    El evento para ver el inicio de sesion por usuario y/o maquina: ID  4624

    Mas info> https://technet.microsoft.com/en-us/library/dn319078.aspx

    Espero que sea de ayuda

    • Propuesto como respuesta Moderador M jueves, 26 de febrero de 2015 16:01
    • Marcado como respuesta Moderador M viernes, 27 de febrero de 2015 16:06
    miércoles, 25 de febrero de 2015 15:07
  • Hola, ampliando un poco lo comentado por Alvaro, efectivamente has de habilitar la auditoría, pero has de tener en cuenta el tamaño de los LOGS, ya que dependiendo del tamaño que tengas configurado (los visores) podrás ser capaz de almacenar más o menos información, o lo que es lo mismo más o menos días.

    Llega un punto en el que los Logs de los visores de eventos debido a su tamaño pueden llegar a ser inmanejables. Por lo que una vez habilites la auditoría revisa cuanto pesa el LOG o o cuento crece por día. También intenta auditar unicamente lo meramente necesario, pues dependiendo del entorno en el que trabajes se pueden generar muchísimos eventos.



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    • Propuesto como respuesta Moderador M jueves, 26 de febrero de 2015 16:01
    • Marcado como respuesta Moderador M viernes, 27 de febrero de 2015 16:06
    miércoles, 25 de febrero de 2015 15:18