Gestión de Active Directory » Instalación del agente

Cómo comprobar quién se ha agregado recientemente a una lista de distribución

Un grupo de distribución es un grupo de AD que está configurado para entregar correos a un grupo distinto de usuarios. Ya que los correos electrónicos a un grupo concreto de usuarios podrían contener información confidencial, un infiltrado malicioso podría simplemente incluirse a sí mismo en la lista de distribución para poder recibir también la información.

Por ello, es imprescindible que los administradores de TI controlen si se han agregado nuevos usuarios a un nuevo grupo de distribución. Los siguientes pasos muestran cómo puede realizar un seguimiento de los cambios en una lista de distribución con las herramientas nativas de AD. También puede utilizar la consola web de ADAuditPlus para averiguar quién se ha agregado a una lista de distribución.

Descárguelo gratis

Prueba gratuita de 30 días con todas las funciones

  • Con auditoría nativa de AD

  • Con ADAudit Plus

  • Cómo realizar el seguimiento de los nuevos miembros agregados a una lista de distribución con ADAudit Plus
  • Seleccione la pestaña Reports y vaya a Group Management. Tiene un informe preconfigurado sobre los miembros agregados recientemente a los grupos de distribución.
  • Seleccione el dominio
  • Personalice el período según el rango de tiempo deseado. También puede definir un período personalizado y guardarlo para referencia rápida.
  • Se genera un informe detallado de información de auditoría para el período seleccionado.
  • Al hacer clic en un evento en el gráfico de barras, se filtra la vista del informe resaltando solo el evento seleccionado.

  • Los atributos de los filtros avanzados lo ayudan a localizar el acontecimiento concreto que busca.

    cómo-comprobar-quién-se-ha-agregado-recientemente-a-una-lista-de-distribución-7 

  • Paso 1: Habilite la auditoría de directiva de grupo
  • Inicie el “Administrador de servidores” y abra la Consola de administración de directiva de grupo (GPMC, Group Policy Management Console).
  • En el panel izquierdo, expanda los nodos 'Bosque' y 'Dominios' para revelar el dominio específico para el que desea realizar un seguimiento de los cambios.
  • Expanda el dominio y haga clic con el botón derecho Directiva de dominio predeterminada. También puede elegir una directiva de dominio que sea universal en todo el dominio o crear un nuevo GPO y vincularlo a la Directiva de dominio predeterminada.
  • Haga clic en Editar de la directiva de grupo deseada para abrir el Editor de administración de directivas de grupo.
  • Expanda “Configuración del equipo”-->Directivas-->Configuración de Windows-->Configuración de seguridad-->Directivas locales-->Directiva de auditoría.

  • Habilite 'Éxito' y 'Error' para las propiedades de la directiva 'Administración de cuentas' y 'Acceso a objetos'. Salga del Editor de administración de directiva de grupo.

    cómo-comprobar-quién-fue-agregado-recientemente-a-una-lista-de-distribución-1 

  • En GPMC, elija la GPO modificada y haga clic en “Agregar” en la sección “Seguridad” en el panel derecho. Escriba 'Todos' en el cuadro de texto y haga clic en 'Comprobar nombres' para incluir el valor. Salga del GPMC.
  • Para aplicar estos cambios en todo el dominio, ejecute el comando “gpupdate /force” en la consola de “Ejecutar”.
  • Paso 2: Permita auditoría de AD a través de ADSI Edit
  • Desde su “Administrador de servidores”, vaya a “Herramientas”y seleccione “ADSI Edit”.
  • Haga clic con el botón derecho en el nodo “ADSI Edit” en el panel izquierdo y seleccione la opción “Conectar a”. Esto abre la ventana de Configuración de conexión.

  • Seleccione la opción Contexto de nomenclatura predeterminado de la lista desplegable “Seleccione un contexto de nomenclatura conocido”.

    cómo-comprobar-quién-fue-agregado-recientemente-a-una-lista-de-distribución-3 

  • Haga clic en “Aceptar”y regrese a la ventana de ADSI Edit. Expanda “Contexto de nomenclatura predeterminado” y seleccione el sub-nodo “DC” asociado. Haga clic con el botón derecho en este sub-nodo y haga clic en “Propiedades”.

  • En la ventana Propiedades, vaya a la pestaña Seguridad y seleccione Avanzado. Después de eso, seleccione 'Auditoría' y haga clic en 'Agregar'.

    cómo-comprobar-quién-fue-agregado-recientemente-a-una-lista-de-distribución-4 

  • Haga clic en Seleccione un principio. Esto hará que aparezca una ventana de Seleccione Usuario, Computador o Grupo. Escriba “Todos” en el cuadro de texto y verifíquelo con Comprobar nombres.
  • El principio en la ventana de Entrada de auditoría ahora muestra 'Todos'. En el menú desplegable “Tipo”, seleccione “Todos” para auditar los eventos de “Éxito” y “Error”.
  • En el menú desplegable “Seleccionar”, elijaEste objeto y todos los objetos descendientes. Esto permite la auditoría de los objetos descendientes de la unidad organizativa. Seleccione Control total en la sección “Permisos”.

  • Esto selecciona todas las casillas de verificación disponibles. Desmarque las siguientes casillas de verificación:

    1. Control total
    2. Contenido de la lista
    3. Lea todas las propiedades
    4. Lea permisos

    cómo-comprobar-quién-fue-agregado-recientemente-a-una-lista-de-distribución-5 

  • Puede ver los eventos en el 'Visor de eventos'. Puede acceder a los 'Registros de seguridad' en 'Registros de Windows'.

  • ID de evento 4728: Se ha agregado un miembro a un grupo habilitado para seguridad.

    cómo-comprobar-quién-fue-agregado-recientemente-a-una-lista-de-distribución-6 

  • Puede buscar este ID de evento para comprobar quién ha agregado un usuario a una cuenta privilegiada.

¿Llega a ser demasiado la auditoría nativa?

Simplifique la auditoría de grupos de distribución y los informes con ADAudit Plus.

Obtenga su prueba gratuitaPrueba gratuita de 30 días con todas las funciones

Satisfaga todas sus necesidades de auditoría y de seguridad de TI con ADAudit Plus.
Active DirectoryWorkstationServidores de archivosServidores Windows CumplimientoProductos relacionados