Con auditoría nativa de AD
Con ADAudit Plus
- Siga los pasos 1 y 2 indicados en la sección de auditoría nativa para activar la Política de auditoría y habilitar la auditoría de inicio y cierre de sesión.
- Inicie sesión en la consola web de ADAudit Plus como administrador.
- Haga clic en la pestaña de Informes. En la sección Iniciar-cerrar sesión local del panel izquierdo, seleccione el informe de actividad de inicio de sesión.
- El informe de Actividad de inicio de sesión en ADAudit Plus muestra los intentos de inicio de sesión, junto con el nombre de usuario, la hora de inicio de sesión, el nombre de la estación de trabajo, el tipo de inicio de sesión, entre otros ejemplos.
- Estas son algunas de las limitaciones para generar un informe de la actividad de inicio de sesión en Active Directory utilizando métodos de auditoría nativos:
- Cada controlador de dominio muestra un tiempo de inicio de sesión diferente debido a la no replicación de datos.
- Obtener los datos necesarios en medio del ruido es un proceso complejo.
- Es difícil generar el informe para distintas zonas horarias y formatos de fecha.
- Con ADAudit Plus, es fácil obtener un informe de la actividad de inicio de sesión en Active Directory en unos pocos clics, y se muestra en una interfaz de usuario sencilla y de diseño intuitivo.
Paso 1: Habilite directiva de auditoría
- Abra Server Manager en el servidor Windows.
- En la pestaña de Administrar, abra la consola Administración de directivas de grupo.
- Vaya a Bosque -> Dominio -> Su Dominio -> Controladores de Dominio.
- Puede editar un objeto de directiva de grupo existente o crear uno nuevo.
- En el Editor de directivas de grupo, vaya a Configuración del equipo -> Directivas -> Configuración de Windows -> Configuración de seguridad -> Directivas locales -> Directiva de auditoría.
En Directiva de auditoría, seleccione “Auditar eventos de inicio de sesión” y habilite la auditoría “Éxito” y “Fallo”.
Paso 2: Habilite inicio-cierre de sesión
- Vuelva a Configuración del equipo. Vaya a Configuración de Windows -> Configuración de seguridad -> Configuración avanzada de la directiva de auditoría -> Directiva de auditoría -> Inicio o Cierre de sesión.
- Bajo esta opción, habilite la auditoría de éxito y fracaso para el inicio de sesión de auditoría, cierre de sesión de auditoría e inicio de sesión especial de auditoría.
Abra la consola de administración de directivas de grupo y seleccione la GPO que ha editado o creado. En Filtrado de seguridad, agregue los usuarios cuyos inicios de sesión deben rastrearse. También puede elegir auditar el inicio de sesión de cada usuario de dominio seleccionando Todos los usuarios. Para auditar un grupo de usuarios de dominio, se pueden agregar los grupos específicos.
Paso 3: Use Active Directory Event Viewer para comprobar los registros
- Abra Visor de eventos y navegue hasta los registros de Windows -> Seguridad.
Busque los ID de evento 4624 (la cuenta inicio sesión), 4634 (la cuenta cerró sesión), 4647 (el usuario inició la sesión), 4672 (el inicio de sesión especial), 4800 (la estación de trabajo se bloqueó) y 4801 (la estación de trabajo se desbloqueó).
Haga clic en Filtrar registro actual en el lado derecho para filtrar los registros según los ID de evento o el intervalo de tiempo para el que se requiere la información.
¿Llega a ser demasiado la auditoría nativa?
Simplifique la auditoría de grupos de distribución y los informes con ADAudit Plus.
Obtenga su prueba gratuitaPrueba gratuita de 30 días con todas las funciones