Con auditoría nativa de AD
Con ADAudit Plus
- Inicie sesión en la consola web de ADAudit Plus como administrador.
- Navegue a la pestaña Reports y desde la sección Group Management en el panel izquierdo, seleccione el informe deseado. Por ejemplo, seleccionemos el informe Recently created Security Groups.
- Seleccione el dominio y haga clic en Generate.
Seleccione Export As para exportar el informe en cualquiera de los formatos preferidos (CSV, PDF, HTML, CSVDE y XLSX).
- Abra la Consola de administración de directiva de grupo. Cree una nueva GPO y edítela -> Configuración del equipo -> Directivas -> Configuración de Windows -> Configuración de seguridad -> Directiva local -> Directiva de auditoría:
- Auditoría de gestión de cuentas -> Marque la casilla de Éxito
- Auditar el acceso al servicio de directorio -> Marque la casilla de Éxito
- Haga clic en Aplicar.
Navegue hasta Configuración de seguridad -> Propiedades -> Registro de eventos:
- Tamaño máximo de registro de seguridad -> Definir en 4 000 000 KB (o 4 GB)
- Método de retención para el registro de seguridad -> Definir para Sobrescribir eventos según sea necesario
- Vincula la nueva GPO: Vaya a "Administración de directivas de grupo" -> Haga clic con el botón derecho en el dominio o la UO -> Haga clic en "Vincular una GPO existente" -> Elija la GPO recién creada
- Forzar la actualización de la directiva de grupo: En "Administración de directivas de grupo", haga clic con el botón derecho en la UO definida -> Elija "Actualización de directivas de grupo".
- Abra ADSI Edit -> Haga clic con el botón derecho en ADSI Edit -> Conéctese al Contexto de nomenclatura predeterminado -> Haga clic con el botón derecho en el objeto DomainDNS con el nombre de su dominio -> Propiedades -> Seguridad -> Avanzado -> Auditoría -> Agregar Entidad de seguridad "Todos" -> Tipo "Éxito" -> Se aplica a "Este objeto y a los objetos descendientes" -> Marque todas las casillas excepto "Control total, Listar contenidos, Leer todas las propiedades, Permisos de lectura" -> Seleccione "Aceptar".
Abra el Visor de eventos -> filtrar registro de seguridad para ubicar los ID de eventos (Windows Server 2003/2008-2012):
- 4727, 4731, 4754, 4759, 4744, 4749 — Grupo creado
- 4728, 4732, 4756, 4761, 4746, 4751 — Miembro agregado a un grupo
- 4729, 4733, 4757, 4762, 4747, 4752 — Miembro eliminado de un grupo
- 4730, 4734, 4758, 4748, 4753, 4763 — Grupo eliminado
- 4735, 4737, 4745, 4750, 4755, 4760 — Grupo cambiado
- 4662 - Se realizó una operación en un objeto (Tipo: Acceso al servicio de directorio).
¿Se está volviendo demasiado la auditoría nativa?
Simplifique la auditoría e informes de Active Directory con ADAudit Plus.
Obtenga su prueba gratuitaPrueba gratuita de 30 días con todas las funciones
A continuación se describen las limitaciones para realizar un seguimiento de los cambios realizados en los grupos de Active Directory mediante la auditoría nativa:
- Configurar la auditoría nativa es un proceso bastante largo.
- Las alertas en tiempo real no pueden configurarse mediante la auditoría nativa, y la búsqueda continua de cambios en los grupos de Active Directory es un proceso redundante y propenso a errores para los administradores de TI.
- Es difícil generar el informe para distintas zonas horarias y formatos de fecha.
ADAudit Plus generará el informe de los cambios realizados en los grupos de Active Directory y lo mostrará en una UI sencilla y de diseño intuitivo. ADAudit Plus también puede generar alertas basadas en condiciones establecidas por el equipo de TI de la organización.