Con auditoría nativa de AD
Con ADAudit Plus
ADAudit Plus simplifica la gestión de las unidades organizativas ofreciéndole informes de gestión preconfigurados:
- Unidades organizativas creadas recientemente
- Unidades organizativas eliminadas recientemente
- Unidades organizativas modificadas recientemente
- Unidades organizativas movidas recientemente
- Historia de las unidades organizativas
- Cambios de atributos extendidos
A continuación se explica cómo utilizar ADAudit Plus para recuperar el informe de gestión de la unidad organizativa en unos sencillos pasos.
- Seleccione la pestaña de Reports y vaya hasta OU Management. Elegir Report.
- Seleccione el dominio
- Personalice el período según el rango de tiempo deseado. También puede definir un periodo personalizado y guardarlo para consultarlo rápidamente.
- Se genera un informe detallado de información de auditoría para el período seleccionado.
- Al hacer clic en un evento en el gráfico de barras, se filtra la vista del informe resaltando solo el evento seleccionado.
- Los atributos de filtro avanzados lo ayudan a localizar el evento específico que busca.
ADAudit Plus le ofrece una serie de atributos de filtro: Who Created, Modified Time, Message, Permission Changes, Old Value, New value, Time Deleted, Remarks, Who changed, Modified Attributes, Domain Controller, Creation Time, New OU Name, Who deleted, OU Name, New OU Distinguished Name.
Puede aplicar los filtros anteriores en los informes para filtrar los resultados en consecuencia.
Seguimiento de los cambios de auditoría de unidades organizativas en AD nativo
Paso 1: Configurar la auditoría de unidad organizativa
- Inicie el Administrador de servidores en su servidor de Windows.
- En 'Herramientas de Windows' vaya hasta la 'Consola de administración de directiva de grupo' (GPMC).
En el panel izquierdo, haga clic con el botón derecho en la opción Controladores de dominio. Puede elegir la opción 'crear una nueva GPO y vincularla aquí' o "Vincular una GPO existente" según corresponda.
- Haga clic con el botón derecho en la GPO deseada y seleccione 'Editar'. Esto abre el 'Editor de administración de directivas de grupo'. Expanda el nodo y seleccione el 'Configuración del equipo'.
A continuación, puede seleccionar 'Directivas' y vaya hasta 'Configuración de Windows'. En 'Configuración de Windows' seleccione 'Configuración de seguridad' y, a continuación, vaya hasta 'Configuración de directiva de auditoría avanzada'.
En 'Configuración de directiva de auditoría avanzada' Opción Seleccionar 'Directiva de auditoría' y expanda el nodo. A continuación, seleccione la opción 'Acceso DS' y haga doble clic en el botón 'Auditar el acceso al servicio de directorio'.
- Configure esta directiva tanto para "Éxito" como para "Error".
- Además, configure los eventos "Éxito y Error" para 'Auditar cambios de servicio de directorio'.
- Salga del Editor Administración de directivas de grupo y regrese a la GPMC.
- Vaya al nodo 'Controladores de dominio' y seleccione la GPO recién modificada. De acuerdo con la pestaña 'Ámbito' en el panel derecho, encontrará la sección 'Filtrado de seguridad'. Seleccione 'Agregar'.
Esto abre la ventana de 'Seleccione usuario, computador o grupo'. Escriba "todos" en esta ventana para aplicar esta GPO a todos los objetos.
- Ahora puede volver a la GPMC. La directiva de grupo también debe aplicarse en todo el bosque. Puede hacer esto abriendo 'Ejecutar' en su servidor y ejecutando gpupdate /force. Debería recibir una notificación indicando que la actualización de la directiva se ha realizado correctamente.
Paso 2: Active la auditoría de AD en ADSI Edit.
- Desde su “Administrador de servidores”, vaya a “Herramientas”y seleccione “ADSI Edit”.
- Haga clic con el botón derecho en el nodo “ADSI Edit” en el panel izquierdo y seleccione la opción “Conectar a” . Esto abre la ventana “Configuración de conexión”.
Seleccione la opción “Contexto de nomenclatura predeterminado” de la lista desplegable “Seleccione un contexto de nomenclatura conocido”.
- Haga clic en “Aceptar” y regrese a la ventana de ADSI Edit. Expanda “Contexto de nomenclatura predeterminado” y seleccione el sub-nodo “DC” asociado. Haga clic con el botón derecho en este sub-nodo y haga clic en “Propiedades”.
En la ventana 'Propiedades', vaya a la pestaña 'Seguridad' y seleccione 'Avanzado'. Después de eso, seleccione 'Auditing' y haga clic en 'Add'.
- Haga clic en 'Seleccionar un principio'. Esto hará que aparezca una ventana de 'Seleccione usuario, computador o grupo'. Escriba “Todos” en el cuadro de texto y verifíquelo con “Comprobar nombres”.
- El principio en la ventana de Entrada de auditoría ahora muestra 'Todos'. En el menú desplegable “Tipo”, seleccione “Todos” para auditar los eventos de “Éxito” y “Error”.
En el menú desplegable “Seleccionar” elija Este objeto y todos los objetos descendientes. Esto permite la auditoría de los objetos descendientes de la unidad organizativa. Seleccione “Control total” en la sección de “Permisos”.
- Haga clic en 'Aplicar' y 'Aceptar' y cierre la ventana.
Paso 3: Usar el Visor de eventos para hacer un seguimiento de los eventos
En el 'Visor de eventos' puede buscar los siguientes ID de eventos en 'Registros de seguridad'
- ID de evento 5141: Se ha eliminado un objeto de servicio de directorio (unidad organizativa).
- ID de evento 5137: Se ha creado un objeto de servicio de directorio (unidad organizativa).
- ID de evento 5139: Se ha movido un objeto de servicio de directorio (unidad organizativa).
- ID de evento 5136: Se ha modificado un objeto de servicio de directorio (unidad organizativa).
A continuación, se muestra cómo puede ver un evento en el que se eliminó una unidad organizativa.
En esta ventana puedes ver quién hizo cambios en la unidad organizativa y qué cambios se hicieron, junto con la fecha y hora del evento.
¿Llega a ser demasiado la auditoría nativa?
Simplifique la auditoría y la generación de informes del servidor de archivos con ADAudit Plus.
Obtenga su prueba gratuitaPrueba gratuita de 30 días con todas las funciones