Auditoría de objetos de Active Directory en Windows Server 2003
En este artículo paso a paso se describe cómo usar la auditoría de Windows Server 2003 para realizar un seguimiento de las actividades del usuario y los eventos de todo el sistema en Active Directory.
Se aplica a: Windows Server 2003
Número de KB original: 814595
Resumen
Puede usar la auditoría de Windows Server 2003 para realizar un seguimiento de las actividades del usuario y de Windows Server 2003 que son eventos con nombre, en un equipo. Al usar la auditoría, puede especificar qué eventos se escriben en el registro de seguridad. Por ejemplo, el registro de seguridad puede mantener un registro de intentos de inicio de sesión válidos y no válidos y eventos relacionados con la creación, apertura o eliminación de archivos u otros objetos. Una entrada de auditoría en el registro de seguridad contiene la siguiente información:
- La acción que se ha realizado.
- El usuario que ha realizado la acción.
- El éxito o error del evento y la hora en que se produjo el evento.
Una configuración de directiva de auditoría define las categorías de eventos que Windows Server 2003 registra en el registro de seguridad de cada equipo. El registro de seguridad permite realizar un seguimiento de los eventos que especifique.
Al auditar eventos de Active Directory, Windows Server 2003 escribe un evento en el registro de seguridad del controlador de dominio. Por ejemplo, un usuario intenta iniciar sesión en el dominio mediante una cuenta de usuario de dominio. Si el intento de inicio de sesión no se realiza correctamente, el evento se registra en el controlador de dominio, no en el equipo donde se realizó el intento de inicio de sesión. Este comportamiento se produce porque es el controlador de dominio el que intentó autenticar el intento de inicio de sesión, pero no pudo hacerlo.
Use Visor de eventos para ver los eventos que Windows Server 2003 registra en el registro de seguridad. También puede archivar archivos de registro para realizar un seguimiento de las tendencias a lo largo del tiempo. Por ejemplo, quiere determinar el uso de impresoras o archivos, o comprobar el uso de recursos no autorizados.
Para habilitar la auditoría de objetos de Active Directory:
- Configure una configuración de directiva de auditoría para un controlador de dominio. Al configurar una configuración de directiva de auditoría, puede auditar objetos, pero no puede especificar el objeto que desea auditar.
- Configure la auditoría para objetos específicos de Active Directory. Después de especificar los eventos que se van a auditar para archivos, carpetas, impresoras y objetos de Active Directory, Windows Server 2003 realiza un seguimiento y registra estos eventos.
Configuración de una directiva de auditoría para un controlador de dominio
De forma predeterminada, la auditoría está desactivada. En el caso de los controladores de dominio, se configura una configuración de directiva de auditoría para todos los controladores de dominio del dominio. Para auditar eventos que se producen en controladores de dominio, configure una configuración de directiva de auditoría que se aplique a todos los controladores de dominio de un objeto de directiva de grupo (GPO) no local para el dominio. Puede acceder a esta configuración de directiva a través de la unidad organizativa Controladores de dominio. Para auditar el acceso de los usuarios a objetos de Active Directory, configure la categoría de eventos Audit Directory Service Access en la configuración de directiva de auditoría.
Nota:
- Debe conceder el derecho de usuario Administrar registro de auditoría y seguridad al equipo donde quiera configurar una configuración de directiva de auditoría o revisar un registro de auditoría. De forma predeterminada, Windows Server 2003 concede estos derechos al grupo Administradores.
- Los archivos y carpetas que desea auditar deben estar en volúmenes del sistema de archivos (NTFS) de Microsoft Windows NT.
Para configurar una configuración de directiva de auditoría para un controlador de dominio:
Seleccione Iniciar>programas>Herramientas administrativas y, a continuación, seleccione Usuarios y equipos de Active Directory.
En el menú Ver , seleccione Características avanzadas.
Haga clic con el botón derecho en Controladores de dominio y, a continuación, seleccione Propiedades.
Seleccione la pestaña directiva de grupo, seleccione Directiva de controlador de dominio predeterminada y, a continuación, seleccione Editar.
Seleccione Configuración del equipo, haga doble clic en Configuración de Windows, haga doble clic en Configuración de seguridad, haga doble clic en Directivas localesy, a continuación, haga doble clic en Directiva de auditoría.
En el panel derecho, haga clic con el botón derecho en Auditar acceso a servicios de directorio y, a continuación, seleccione Propiedades.
Seleccione Definir esta configuración de directiva y, a continuación, seleccione una o ambas de las siguientes casillas:
- Correcto: active esta casilla para auditar los intentos correctos de la categoría de eventos.
- Error: active esta casilla para auditar los intentos erróneos de la categoría de eventos.
Haga clic con el botón derecho en cualquier otra categoría de eventos que quiera auditar y, a continuación, seleccione Propiedades.
Seleccione Aceptar.
Los cambios realizados en la configuración de directiva de auditoría del equipo surten efecto solo cuando la configuración de directiva se propaga o se aplica al equipo. Complete cualquiera de los pasos siguientes para iniciar la propagación de directivas:
- Escriba
gpupdate /Target:computeren el símbolo del sistema y presione ENTRAR. - Espere a la propagación automática de directivas que se produzca a intervalos regulares que puede configurar. De forma predeterminada, la propagación de directivas se produce cada cinco minutos.
- Escriba
Abra el registro de seguridad para ver los eventos registrados.
Nota:
Si es un dominio o un administrador de empresa, puede habilitar la auditoría de seguridad para estaciones de trabajo, servidores miembros y controladores de dominio de forma remota.
Configuración de la auditoría para objetos específicos de Active Directory
Después de configurar una configuración de directiva de auditoría, puede configurar la auditoría para objetos específicos, como usuarios, equipos, unidades organizativas o grupos, especificando tanto los tipos de acceso como los usuarios cuyo acceso desea auditar. Para configurar la auditoría de objetos de Active Directory específicos:
Seleccione Iniciar>programas>Herramientas administrativas y, a continuación, seleccione Usuarios y equipos de Active Directory.
Asegúrese de seleccionar Características avanzadas en el menú Ver .
Haga clic con el botón derecho en el objeto de Active Directory que desea auditar y, a continuación, seleccione Propiedades.
Seleccione la pestaña Seguridad y, a continuación, seleccione Opciones avanzadas.
Seleccione la pestaña Auditoría y, a continuación, seleccione Agregar.
Realice una de las acciones siguientes:
- Escriba el nombre del usuario o del grupo cuyo acceso desea auditar en el cuadro Escriba el nombre del objeto que desea seleccionar y, a continuación, seleccione Aceptar.
- En la lista de nombres, haga doble clic en el usuario o el grupo cuyo acceso quiera auditar.
Active la casilla Correcto o Erróneo para las acciones que desea auditar y, a continuación, seleccione Aceptar.
Seleccione Aceptar y, después, Aceptar.
Solucionar problemas
El tamaño del registro de seguridad es limitado. Debido a esta limitación, Microsoft recomienda seleccionar cuidadosamente los archivos y las carpetas que desea auditar. Tenga en cuenta también la cantidad de espacio en disco que desea dedicar al registro de seguridad. El tamaño máximo se define en Visor de eventos.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de