Como habilitar auditoria de Active Directoy en Windows Server 2016
Buenos dÃas,
Entrando en el tema de configuración de politicas de usuario de Windows Server o tambien llamadas GPO hoy quiero mostrarles algo que necesite documentar.
Resulta que en Windows no vienen activadas por defecto todas las auditorias que se registran en nuestro visor de eventos es decir, imaginemos el siguiente escenario, tenemos un controlador de dominio el cual es administrado por mas de una persona. esto no presenta ningun problema ya que cada usuario tiene derechos para hacerlo con su propio inicio de sesion o usuario para ser redundantes. el problema viene con que alguno de los dos elimine un objeto del directorio activo ya sea un usuario o un equipo, en mi mente asumi que todo esto quedaba registrado en el visor de eventos de Microsoft Windows pero para mi sorpresa esto no es asà de hecho tuve que habilitarlo desde desde la politica de seguridad Local lo que me llevo a escribir este post.
El asunto es bastante secillo y nos basta con abrir el administrador de GPO del servidor
Entrando en el tema de configuración de politicas de usuario de Windows Server o tambien llamadas GPO hoy quiero mostrarles algo que necesite documentar.
Resulta que en Windows no vienen activadas por defecto todas las auditorias que se registran en nuestro visor de eventos es decir, imaginemos el siguiente escenario, tenemos un controlador de dominio el cual es administrado por mas de una persona. esto no presenta ningun problema ya que cada usuario tiene derechos para hacerlo con su propio inicio de sesion o usuario para ser redundantes. el problema viene con que alguno de los dos elimine un objeto del directorio activo ya sea un usuario o un equipo, en mi mente asumi que todo esto quedaba registrado en el visor de eventos de Microsoft Windows pero para mi sorpresa esto no es asà de hecho tuve que habilitarlo desde desde la politica de seguridad Local lo que me llevo a escribir este post.
El asunto es bastante secillo y nos basta con abrir el administrador de GPO del servidor
Podemos modificar la politica de Default Domain Controller pero eso a mi no me gusta por cuestiones de seguridad, por lo que esta vez crearemos una politica y la vinculares a los servidores donde queremos que aplique.
La ruta para la configuracion que debemos seguir es: Configuracion de Equipo / Configuración de Windows / Configuración de Seguridad / Configuracion de Directiva de Auditoria.
Aqui la que nos interesa habilitar es la que dice Auditoria de Cuentas.
Y para finalizar solo activamos el reporte de registros de Error y si tambien lo quieren de Aciertos.
Para que nos actualice en nuestro equipo ya sabemos que podemos utilizar nuestro comando gpupdate /force seguido de esto veremos que en el visor de eventos se generaran los siguientes IDs.
| ID | Detalle Evento |
| 4720 | Se creo una cuenta de usuario |
| 4722 | Se habilito una cuenta de usuario |
| 4723 | Se ha realizado un intento de cambiar la contraseña de una cuenta |
| 4724 | Se ha realizado un intento de restablecer la contraseña de una cuenta |
| 4725 | Se deshabilito una cuenta de usuario |
| 4726 | Se elimino una cuenta de usuario |
| 4738 | Secambio una cuenta de usuario |
| 4740 | Se bloqueo una cuenta de usuario |
| 4765 | Se agrego el historial de SID a una cuenta |
| 4766 | Se produjo un error al intentar agregar el historial de SID a una cuenta |
| 4767 | Se desbloqueo una cuenta de usuario |
| 4780 | Se establecio la ACL en cuentas que son miembros de grupos de administradores |
| 4781 | Se cambio el nombre de una cuenta |
| 4794 | Se intento establecer el modo de restauracuin de serivicios de directorio |
| 5376 | Se hizo una copia de seguridad de las credencales del administrador de credencales |
| 5377 | Se restauraron las credenciales del administrador de credenciales desde una copia de seguridad |
Y listo :)
Comentarios
Publicar un comentario