CÓMO: Auditar objetos de Active Directory en Windows Server 2003

En este artículo paso a paso se describe cómo utilizar la auditoría de Windows Server 2003 para hacer un seguimiento de las actividades de los usuarios y los sucesos de todo el sistema en Active Directory.

Cuando utiliza la auditoría de Windows Server 2003 puede hacer un seguimiento tanto de las actividades de los usuarios como de las actividades de Windows Server 2003 (que se denominan sucesos) de un equipo. Al utilizar la auditoría puede especificar qué sucesos se escriben en el registro de seguridad. Por ejemplo, el registro de seguridad puede mantener un registro de los intentos válidos y fallidos de inicio de sesión, y de los sucesos relacionados con la creación, apertura o eliminación de archivos u otros objetos. Una entrada de auditoría en el registro de seguridad contiene la información siguiente:

• La acción que se realizó.
• El usuario que realizó la acción.
• El éxito o el error del suceso y la hora a la que se produjo el suceso.

Una opción de directiva de auditoría define las categorías de sucesos que Windows Server 2003 registra en el registro de seguridad de cada equipo. El registro de seguridad le permite realizar un seguimiento de los sucesos que especifique.

Cuando audita sucesos de Active Directory, Windows Server 2003 escribe un suceso en el registro de seguridad en el controlador de dominio. Por ejemplo, si un usuario intenta iniciar sesión en el dominio utilizando una cuenta de usuario de dominio y el intento es incorrecto, el suceso se graba en el controlador de dominio, no en el equipo donde se intentó iniciar sesión. Este comportamiento se produce porque es el controlador de dominio el que intentó autenticar el intento de inicio de sesión pero no pudo hacerlo.

Utilice el Visor de sucesos para ver los sucesos que Windows Server 2003 graba en el registro de seguridad. También puede almacenar los archivos de registro para realizar un seguimiento de las tendencias a lo largo del tiempo. Por ejemplo, si desea conocer el uso de impresoras o archivos, o si desea comprobar el uso de recursos no autorizados.

Para habilitar la auditoría de objetos de Active Directory:

• Configure una opción de directiva de auditoría para un controlador de dominio. Cuando configura una opción de directiva de auditoría puede auditar objetos pero no puede especificar el objeto que desea auditar.
• Configure la auditoría para determinados objetos de Active Directory. Después de especificar los sucesos que desea auditar para archivos, carpetas, impresoras y objetos de Active Directory, Windows Server 2003 hace un seguimiento y registra estos sucesos.

Configurar una opción de directiva de auditoría para un controlador de dominio

De forma predeterminada, la auditoría está desactivada. En el caso de los controladores de dominio, se configura una opción de directiva de auditoría para todos los controladores de dominio del dominio. Para auditar los sucesos que se producen en controladores de dominio, configure una opción de directiva de auditoría que se aplique a todos los controladores de dominio de un objeto de directiva de grupo (GPO) no local para el dominio. Puede tener acceso a esta opción de la directiva a través de la unidad organizativa Controladores de dominio. Para auditar el acceso de los usuarios a objetos de Active Directory, configure la categoría de sucesos Auditar el acceso del servicio de directorio en la opción de directiva de auditoría.

NOTAS

• Debe conceder el derecho de usuario Administrar registro de auditoría y seguridad al equipo donde desee configurar una opción de directiva de auditoría o examinar un registro de auditoría. De forma predeterminada, Windows Server 2003 concede estos derechos al grupo Administradores.
• Los archivos y carpetas que desee auditar deben estar en volúmenes formateados con el sistema de archivos de Microsoft Windows NT (NTFS).

Para configurar una opción de directiva de auditoría para un controlador de dominio:

1. Haga clic en Inicio, seleccione Programas y Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.
2. En el menú Ver, haga clic en Características avanzadas.
3. Haga clic con el botón secundario en Controladores de dominio y, a continuación, haga clic en Propiedades.
4. Haga clic en la ficha Directiva de grupo, haga clic en Directiva predeterminada de controladores de dominio y, después, haga clic en Modificar.
5. Haga clic en Configuración del equipo, haga doble clic en Configuración de Windows, Configuración de seguridad y Directivas locales y, después, haga doble clic en Directiva de auditoría.
6. En el panel derecho, haga clic con el botón secundario en Auditar el acceso del servicio de directorio y, a continuación, haga clic en Propiedades.
7. Haga clic en Definir esta configuración de directiva y, a continuación, haga clic para activar una o ambas de las casillas de verificación siguientes:
   • Éxito: haga clic para activar esta casilla de verificación si desea auditar los intentos correctos para la categoría de sucesos.
   • Error: haga clic para activar esta casilla de verificación si desea auditar los intentos fallidos para la categoría de sucesos.
8. Haga clic con el botón secundario en cualquier otra categoría de sucesos que desee auditar y, a continuación, haga clic en Propiedades.
9. Haga clic en Aceptar.
10. Puesto que los cambios que realiza en la configuración de la directiva de auditoría del equipo sólo surten efecto cuando la configuración de la directiva se propaga o se aplica a su equipo, realice cualquiera de los pasos siguientes para iniciar la propagación de la directiva:
    • Escriba gpupdate /Target:computer en el símbolo del sistema y presione ENTRAR.
    • Espere a que se realice la propagación automática de la directiva que tiene lugar a intervalos periódicos que puede configurar. De forma predeterminada, la propagación de la directiva se produce cada cinco minutos.
11. Abra el registro de seguridad para ver los sucesos registrados.
    
    Nota: si es un administrador de dominio o de empresa, puede habilitar la auditoría de seguridad de forma remota para las estaciones de trabajo, los servidores miembro y los controladores de dominio.

Configurar la auditoría para determinados objetos de Active Directory

Después de configurar una opción de directiva de auditoría, puede configurar la auditoría para determinados objetos como usuarios, equipos, unidades organizativas o grupos, especificando tanto los tipos de acceso como los usuarios cuyo acceso desea auditar. Para configurar la auditoría para determinados objetos de Active Directory:

1. Haga clic en Inicio, seleccione Programas y Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.
2. Asegúrese de que el comando Características avanzadas está seleccionado en el menú Ver; para ello, compruebe que el comando tenga una marca de verificación al lado.
3. Haga clic con el botón secundario en el objeto de Active Directory que desee auditar y, a continuación, haga clic en Propiedades.
4. Haga clic en la ficha Seguridad y, después, haga clic en Opciones avanzadas.
5. Haga clic en la ficha Auditoría y, a continuación, haga clic en Agregar.
6. Realice uno de los pasos siguientes:
   • Escriba el nombre del usuario o el grupo cuyo acceso desea auditar en el cuadro Escriba el nombre de objeto a seleccionar y haga clic en Aceptar.
   • En la lista de nombres, haga doble clic en el usuario o el grupo cuyo acceso desee auditar.
7. Haga clic para activar las casillas Correcto o Error correspondientes a las acciones que desee auditar y, a continuación, haga clic en Aceptar.
8. Haga clic en Aceptar y, después, haga clic de nuevo en Aceptar.

Solucionar problemas

El tamaño del registro de seguridad es limitado. Por eso, Microsoft recomienda que seleccione cuidadosamente los archivos y las carpetas que desea auditar. Tenga en cuenta también la cantidad de espacio en disco que desea dedicar al registro de seguridad. El tamaño máximo se define en el Visor de sucesos.