¿Cómo hacer un seguimiento de los cambios en los grupos de Active Directory?

Seguimiento de los cambios de grupo con la herramienta nativa de AD

• Paso 1: Habilite la auditoría de directiva de grupo

• Inicie el “Administrador de servidores” y abra la Consola de administración de directiva de grupo (GPMC, Group Policy Management Console).

• En el panel izquierdo, expanda los nodos “Bosque” y “Dominios” para revelar el dominio especificado para el que desea hacer el seguimiento de los cambios.

• Expanda el dominio y haga clic con el botón derecho en “Directiva de dominio predeterminada”. También puede elegir una directiva de dominio que sea universal en todo el dominio o crear un nuevo GPO y vincularlo a la Directiva de dominio predeterminada.

• Haga clic en “Editar” de la directiva de grupo deseada para abrir el Editor de administración de directivas de grupo.

• Expanda “Configuración del equipo”-->Directivas-->Configuración de Windows-->Configuración de seguridad-->Directivas locales-->Directiva de auditoría.

• Habilite las opciones de éxito y fracaso para las propiedades de directiva 'Administración de cuentas' y 'Acceso a objetos'. Salga del Editor de administración de directiva de grupo.

  

• En GPMC, elija el GPO modificado y haga clic en “Agregar” en la sección “Seguridad” en el panel derecho. Escriba “todos” en el cuadro de texto y haga clic en “comprobar nombres” para “rastrear los cambios realizados por todos los que iniciaron sesión en el dominio”, o algo similar funcionaría. Salga del GPMC.

• Para aplicar estos cambios en todo el dominio, ejecute el comando “gpupdate /force”, en la consola de “Ejecutar”.

• Paso 2: Permita auditoría de AD a través de ADSI Edit

• Desde su “Administrador de servidores”, vaya a “Herramientas”y seleccione “ADSI Edit”.

• Haga clic con el botón derecho en el nodo “ADSI Edit” en el panel izquierdo y seleccione la opción “Conectar a”. Esto abre la ventana “Configuración de conexión”.

• Seleccione la opción “Contexto de nomenclatura predeterminado” de la lista desplegable “Seleccione un contexto de nomenclatura conocido”.

• Haga clic en “Aceptar” y regrese a la ventana de ADSI Edit. Expanda “Contexto de nomenclatura predeterminado” y seleccione el sub-nodo “DC” asociado. Haga clic derecho en este sub-nodo y haga clic en “Propiedades”.

• En la ventana 'Propiedades', vaya a la pestaña 'Seguridad' y seleccione 'Avanzado'. Después de eso, seleccione la pestaña 'Auditoría' y haga clic en 'Agregar'.

  

• Haga clic en 'Seleccionar una entidad de seguridad'. Esto hará que aparezca una ventana de “Seleccione Usuario, Computador o Grupo”. Escriba “Todos” en el cuadro de texto y verifíquelo con “Comprobar nombres”.

• La “Entidad de seguridad” en la ventana “Entrada de auditoría”ahora muestra “Todos”. En el menú desplegable “Tipo”, seleccione “Todos” para auditar los eventos de “Éxito” y “Error”.

• En el menú desplegable “Seleccionar” elija Este objeto y todos los objetos descendientes. Esto permite la auditoría de los objetos descendientes de la unidad organizativa. Seleccione “Control total” en la sección de “Permisos”.

• Esto selecciona todas las casillas de verificación disponibles. Desmarque las siguientes casillas de verificación:

  1. Control total

  2. Contenido de la lista

  3. Lea todas las propiedades

  4. Lea permisos

  

• Paso 3: Vea eventos en el Visor de eventos

• Puede ver los cambios en sus grupos accediendo a los "Registros de seguridad" en el "Visor de eventos". A continuación se enumeran los sucesos relacionados con los cambios en los grupos de AD. Puede buscar o filtrar estos eventos en su Visor de eventos.

• ID de evento 4727: Se crea un grupo de seguridad

• ID de evento 4729: Se ha eliminado a un miembro de un grupo de seguridad

• ID de evento 4728: Se ha agregado un miembro a un grupo de seguridad

• ID de evento 4730: Se elimina un grupo de seguridad.