Con auditoría nativa de AD
Con ADAudit Plus
La actividad reciente de inicio de sesión de los usuarios se puede rastrear siguiendo los pasos que se mencionan a continuación:
- Inicie sesión en ADAudit Plus
- Seleccione el Domain requerido en la lista desplegable.
- Vaya a la pestaña de Reports
- Vaya a User Logon Reports
Seleccionar Recent User Logon Activity
Estos son algunos de los detalles que puede obtener en este informe:
- Nombre de usuario - Nombre del usuario
- Dirección IP del cliente: la dirección IP del computador cliente
- Nombre de host del cliente: nombre de la máquina cliente
- Controlador de dominio: nombre del controlador de dominio en el que el usuario inicia sesión
- Hora de inicio de sesión: la hora a la que se produce el inicio de sesión del usuario
- Tipo de evento: estado del inicio de sesión (Éxito o Error)
- Motivo del error: este campo muestra el motivo del error de inicio de sesión
- SID: identificador de seguridad asociado con el evento de inicio de sesión
Con la auditoría nativa de AD, puede supervisar la actividad reciente de inicio de sesión de los usuarios:
Paso 1: Habilite la directiva “Inicio de sesión de cuentas”
- Inicie “Administrador de servidores” en su instancia de servidor de Windows.
- En Administrar, seleccione “Administración de directivas de grupo” e inicie la Consola de administración de directiva de grupo.
- Navegue a Bosque --> Dominio --> Su dominio --> Controladores de dominio.
- Crear una nueva GPO y vincularla al dominio que contiene el objeto del equipo, o editar cualquier GPO existente que esté vinculada al dominio para abrir el “Editor de administración de directivas de grupo”.
- Navegue a Configuración del equipo -> Configuración de Windows -> Configuración de seguridad -> Directiva local -> Directiva de auditoría.
En Directiva de auditoría, active la auditoría para los eventos de éxito de las siguientes directivas:
- Inicio de sesión de cuentas
- Administración de cuentas
- Auditar inicio de sesión
Paso 2: Seguimiento de la actividad reciente de inicio de sesión del usuario en el Visor de eventos
Cada vez que un usuario se conecte correctamente a un computador, se registrará un evento en el Visor de eventos. El registro de eventos se puede utilizar para realizar un seguimiento de la actividad reciente de inicio de sesión del usuario. Para ver estos registros de auditoría, vaya al Visor de eventos. Debajo de Registros de Windows seleccionar Seguridad. Puede encontrar todos los registros de auditoría en el panel central como se muestra a continuación.
Para filtrar los registros de eventos y ver sólo los registros asociados a la actividad de inicio de sesión reciente del usuario, seleccione "Crear vista personalizada" en el panel derecho. Simplemente busque el ID de evento 4624 (Inicio de sesión correcto de la cuenta).
Seleccione la vista personalizada creada Inicio de sesión de usuario reciente para obtener todos los eventos de éxito de inicio de sesión de usuario. Ordene el resultado en función de Fecha y hora. En la parte superior de la lista puede ver el último inicio de sesión de un usuario.
Es necesario repetir el proceso varias veces para obtener la información de inicio de sesión reciente de distintos usuarios.
¿Se está volviendo demasiado la auditoría nativa?
Simplifique la auditoría e informes de Active Directory con ADAudit Plus.
Obtenga su prueba gratuitaPrueba gratuita de 30 días con todas las funciones
ADAudit Plus es una solución integral de auditoría de Active Directory que le ayudará a supervisar y auditar los inicios y cierres de sesión locales de los usuarios del dominio. También puede rastrear otros eventos críticos que pueden conducir a interrupciones de la red.
ADAudit Plus simplifica el seguimiento de la actividad de inicio de sesión de usuarios recientes ofreciéndole informes predefinidos de inicio de sesión de usuarios junto con una representación gráfica intuitiva de los mismos para facilitar su comprensión. ADAudit Plus también le ofrece la opción de generar informes personalizados y exportarlos en el formato que prefiera (.pdf, .xls, .html y .csv).