Gestión de Active Directory

Con auditoría nativa de AD

Paso 1: Habilite directiva de auditoría
  • Abra el “Administrador de servidores” en su servidor de Windows
  • En la pestaña "Administrar", haga clic en "Administración de directivas de grupo" para abrir la "Consola de administración de directiva de grupo".
  • Navegue a Bosque --> Dominio --> Su dominio --> Controladores de dominio.
  • Puede elegir entre editar un objeto de directiva de grupo existente o crear uno nuevo.
  • En el Editor de directivas de grupo, vaya a Configuración del equipo>Configuración de Windows>Configuración de seguridad>Directiva local>Directiva de auditoría.
  • En Directiva de auditoría, seleccione "Inicio de sesión de cuentas" y actívela para "Éxito" y "Error".
Paso 2: Habilite inicio-cierre de sesión
  • Vuelva a Configuración del equipo y vaya a Configuración de Windows> Configuración de seguridad> Configuración de directiva de auditoría avanzada> Directiva de auditoría> Inicio y cierre de sesión.
  • Debajo de eso, configure 'Auditar inicio de sesión', 'Auditar cierre de sesión' e 'Auditar inicio de sesión especial', y habilítelos para 'Éxito' y 'Error'.
  • Abra la Consola de administración de directiva de grupo y seleccione la GPO que ha editado o creado. En el panel derecho, en Filtrado de seguridad, agregue los usuarios cuyos inicios de sesión deben rastrearse. Si desea auditar a todo el mundo, la opción está disponible. Por otra parte, si desea auditar a un grupo específico de personas, también se puede agregar el grupo.
Paso 3: Use Active Directory Visor de eventos para comprobar los registros

Una vez activada la auditoría de inicio de sesión, el Active Directory Visor de eventos los registra como eventos con ID de eventos específicos. Para ver los eventos, abra el Visor de eventos, navegue a Registros de Windows> Seguridad. Busque los identificadores de evento 4624 (la cuenta se conectó), 4634 (la cuenta se desconectó), 4647 (el usuario inició el fin de sesión) y 4672 (inicio de sesión especial), 4800 (la estación de trabajo se bloqueó), 4801 (la estación de trabajo se desbloqueó).

Haga clic en "Filtrar registro actual", a la derecha, para filtrar los registros en función de los ID de los eventos o del intervalo de tiempo para el que necesita la información.

Con ADAudit Plus

Active Directiva de auditoría y habilite la auditoría de inicio/cierre de sesión como se detalla en los pasos 1 y 2 de la sección de auditoría nativa de AD.

Haga clic en la pestaña "Reports" y seleccione "Local logon-logoff". Aquí, hay múltiples informes que le dan la información de inicio de sesión que necesita y más. La actividad de inicio de sesión muestra los intentos de inicio de sesión, con el nombre de usuario, la hora de inicio de sesión, el nombre de la estación de trabajo y el tipo de inicio de sesión, entre otros ejemplos. Duración de la conexión le proporciona la hora de conexión, la hora de desconexión y la duración de cada sesión iniciada. Horas de trabajo del usuario da la cantidad total de tiempo que el usuario pasó conectado a la estación de trabajo.

A continuación se muestra un ejemplo de informe de actividad de inicio de sesión:

Haga clic en "Advanced Search" en la parte superior para filtrar el informe. Para filtrar el informe se pueden utilizar diversos parámetros, como el Username, Event ID o Domain.

¿Se está volviendo demasiado la auditoría nativa?

Herramienta de informes y auditoría de Active Directory
con ADAudit Plus

Obtenga su prueba gratuitaSolicite una demostración personal

Imagen de 5

x
Satisfaga todas sus necesidades de auditoría y de seguridad de TI con ADAudit Plus.
Active DirectoryWorkstationServidores de archivosServidores Windows CumplimientoProductos relacionados