Auditorias y eventos

SAludos a todos

Estuve probando auditorias, hay un hilo abierto anteriormente con
javier al respecto, pero hace bastante de ello por eso abro uno nuevo.

Activé para probar auditorias en mi DC , puse auditar objetos entre
otras cosas, y audité una carpeta con un par de usuarios, uno de
ellos con pleno acceso y el otro sin acceso, auité errores y
correctos.

En teoria en el visor de sucesos del DC deberian aparecer estos
accesos pero solo aparecen inicios de sesión. En cambio a partir de
ese momento, empezaron a llamarme los usuarios , que no podian
acceder a sus PC's porque el regsitro de eventos de seguridad estaba
lleno.
Ciertamente se llenan con entradas de diferentes procesos
("normales") que corren los clientes, cuando antes no lo hacia, la
única forma de solucionarlo por el momento es que se sobreescriban
cuando sea necesario.

Con lo cual , no obtengo las auditorias que necesito , en cambio se
llenan los visores de seguridad de los clientes. A alguien le ha
pasado algo similar? , como lo habeis solucionado?

Muchas Gracias

David

¿Dónde activaste las auditorías, en Default Domain Policy? Debería ser en
Default Domain Controllers Policy.

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://www.bloglines.com/blog/urpiano
freyes.cañña.mvps.org
(Tómate dos cañas si quieres escribirme)



Y fue David () quien en el mensaje
, planeando sobre su
teclado, hizo un picado y tecleó:

> SAludos a todos
>
> Estuve probando auditorias, hay un hilo abierto anteriormente con
> javier al respecto, pero hace bastante de ello por eso abro uno nuevo.
>
> Activé para probar auditorias en mi DC , puse auditar objetos entre
> otras cosas, y audité una carpeta con un par de usuarios, uno de
> ellos con pleno acceso y el otro sin acceso, auité errores y
> correctos.
>
> En teoria en el visor de sucesos del DC deberian aparecer estos
> accesos pero solo aparecen inicios de sesión. En cambio a partir de
> ese momento, empezaron a llamarme los usuarios , que no podian
> acceder a sus PC's porque el regsitro de eventos de seguridad estaba
> lleno.
> Ciertamente se llenan con entradas de diferentes procesos
> ("normales") que corren los clientes, cuando antes no lo hacia, la
> única forma de solucionarlo por el momento es que se sobreescriban
> cuando sea necesario.
>
> Con lo cual , no obtengo las auditorias que necesito , en cambio se
> llenan los visores de seguridad de los clientes. A alguien le ha
> pasado algo similar? , como lo habeis solucionado?
>
> Muchas Gracias
>
> David

arrrgh, no no, lo he hecho en una Unidad organizativa nueva que he
creado para hacer las pruebas y he generado una directiva nueva.

Gracias Fernando , voy a probar, lo de que se llenen los visores de
sucesos de los clientes tiene algo que ver???

Muchas Gracias

David

"Fernando Reyes [MS MVP]" wrote:

¿Dónde activaste las auditorías, en Default Domain Policy? Debería
ser en Default Domain Controllers Policy.

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://www.bloglines.com/blog/urpiano
freyes.cañña.mvps.org
(Tómate dos cañas si quieres escribirme)



Y fue David () quien en el mensaje
, planeando sobre
su teclado, hizo un picado y tecleó:

SAludos a todos

Estuve probando auditorias, hay un hilo abierto anteriormente con
javier al respecto, pero hace bastante de ello por eso abro uno
nuevo.

Activé para probar auditorias en mi DC , puse auditar objetos entre
otras cosas, y audité una carpeta con un par de usuarios, uno de
ellos con pleno acceso y el otro sin acceso, auité errores y
correctos.

En teoria en el visor de sucesos del DC deberian aparecer estos
accesos pero solo aparecen inicios de sesión. En cambio a partir de
ese momento, empezaron a llamarme los usuarios , que no podian
acceder a sus PC's porque el regsitro de eventos de seguridad estaba
lleno.
Ciertamente se llenan con entradas de diferentes procesos
("normales") que corren los clientes, cuando antes no lo hacia, la
única forma de solucionarlo por el momento es que se sobreescriban
cuando sea necesario.

Con lo cual , no obtengo las auditorias que necesito , en cambio se
llenan los visores de seguridad de los clientes. A alguien le ha
pasado algo similar? , como lo habeis solucionado?

Muchas Gracias

David

Claro, si las directivas de auditoría las estableces en una GPO vinculada a
una OU, afectarán a las cuentas de equipo que estén en esa OU, provocando
que se hagan entradas en el visor de sucesos de seguridad. Si lo que quieres
es que se auditen los accesos al controlador de dominio, debes establecer
las auditorías en la Defult Domain Controllers Policy o en una GPO que
vincules a la OU Domain Controllers. Un par de tips:

Auditar el acceso a objetos
http://freyes.svetlian.com/tips/aud...bjetos.htm

Auditar inicio de sesión
http://freyes.svetlian.com/tips/aud...sesion.htm

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://www.bloglines.com/blog/urpiano

(Comete dos mandarinas si quieres escribirme)



Y fue David () quien en el mensaje
, planeando sobre su
teclado, hizo un picado y tecleó:

> arrrgh, no no, lo he hecho en una Unidad organizativa nueva que he
> creado para hacer las pruebas y he generado una directiva nueva.
>
> Gracias Fernando , voy a probar, lo de que se llenen los visores de
> sucesos de los clientes tiene algo que ver???
>
> Muchas Gracias
>
> David
>
> "Fernando Reyes [MS MVP]" wrote:
>
>> ¿Dónde activaste las auditorías, en Default Domain Policy? Debería
>> ser en Default Domain Controllers Policy.
>>
>> Un saludo
>> Fernando Reyes [MS MVP]
>> MCSE Windows 2000 / 2003
>> MCSA Windows Server 2003
>> http://freyes.svetlian.com
>> http://www.bloglines.com/blog/urpiano
>> freyes.cañña.mvps.org
>> (Tómate dos cañas si quieres escribirme)
>>
>>
>>
>> Y fue David () quien en el mensaje
>> , planeando sobre
>> su teclado, hizo un picado y tecleó:
>>
>>> SAludos a todos
>>>
>>> Estuve probando auditorias, hay un hilo abierto anteriormente con
>>> javier al respecto, pero hace bastante de ello por eso abro uno
>>> nuevo.
>>>
>>> Activé para probar auditorias en mi DC , puse auditar objetos entre
>>> otras cosas, y audité una carpeta con un par de usuarios, uno de
>>> ellos con pleno acceso y el otro sin acceso, auité errores y
>>> correctos.
>>>
>>> En teoria en el visor de sucesos del DC deberian aparecer estos
>>> accesos pero solo aparecen inicios de sesión. En cambio a partir de
>>> ese momento, empezaron a llamarme los usuarios , que no podian
>>> acceder a sus PC's porque el regsitro de eventos de seguridad estaba
>>> lleno.
>>> Ciertamente se llenan con entradas de diferentes procesos
>>> ("normales") que corren los clientes, cuando antes no lo hacia, la
>>> única forma de solucionarlo por el momento es que se sobreescriban
>>> cuando sea necesario.
>>>
>>> Con lo cual , no obtengo las auditorias que necesito , en cambio se
>>> llenan los visores de seguridad de los clientes. A alguien le ha
>>> pasado algo similar? , como lo habeis solucionado?
>>>
>>> Muchas Gracias
>>>
>>> David

Claro, si las directivas de auditoría las estableces en una GPO vinculada a
una OU, afectarán a las cuentas de equipo que estén en esa OU, provocando
que se hagan entradas en el visor de sucesos de seguridad. Si lo que quieres
es que se auditen los accesos al controlador de dominio, debes establecer
las auditorías en la Defult Domain Controllers Policy o en una GPO que
vincules a la OU Domain Controllers. Un par de tips:

Auditar el acceso a objetos
http://freyes.svetlian.com/tips/aud...bjetos.htm

Auditar inicio de sesión
http://freyes.svetlian.com/tips/aud...sesion.htm

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://www.bloglines.com/blog/urpiano

(Comete dos mandarinas si quieres escribirme)



Y fue David () quien en el mensaje
, planeando sobre su
teclado, hizo un picado y tecleó:

> arrrgh, no no, lo he hecho en una Unidad organizativa nueva que he
> creado para hacer las pruebas y he generado una directiva nueva.
>
> Gracias Fernando , voy a probar, lo de que se llenen los visores de
> sucesos de los clientes tiene algo que ver???
>
> Muchas Gracias
>
> David
>
> "Fernando Reyes [MS MVP]" wrote:
>
>> ¿Dónde activaste las auditorías, en Default Domain Policy? Debería
>> ser en Default Domain Controllers Policy.
>>
>> Un saludo
>> Fernando Reyes [MS MVP]
>> MCSE Windows 2000 / 2003
>> MCSA Windows Server 2003
>> http://freyes.svetlian.com
>> http://www.bloglines.com/blog/urpiano
>> freyes.cañña.mvps.org
>> (Tómate dos cañas si quieres escribirme)
>>
>>
>>
>> Y fue David () quien en el mensaje
>> , planeando sobre
>> su teclado, hizo un picado y tecleó:
>>
>>> SAludos a todos
>>>
>>> Estuve probando auditorias, hay un hilo abierto anteriormente con
>>> javier al respecto, pero hace bastante de ello por eso abro uno
>>> nuevo.
>>>
>>> Activé para probar auditorias en mi DC , puse auditar objetos entre
>>> otras cosas, y audité una carpeta con un par de usuarios, uno de
>>> ellos con pleno acceso y el otro sin acceso, auité errores y
>>> correctos.
>>>
>>> En teoria en el visor de sucesos del DC deberian aparecer estos
>>> accesos pero solo aparecen inicios de sesión. En cambio a partir de
>>> ese momento, empezaron a llamarme los usuarios , que no podian
>>> acceder a sus PC's porque el regsitro de eventos de seguridad estaba
>>> lleno.
>>> Ciertamente se llenan con entradas de diferentes procesos
>>> ("normales") que corren los clientes, cuando antes no lo hacia, la
>>> única forma de solucionarlo por el momento es que se sobreescriban
>>> cuando sea necesario.
>>>
>>> Con lo cual , no obtengo las auditorias que necesito , en cambio se
>>> llenan los visores de seguridad de los clientes. A alguien le ha
>>> pasado algo similar? , como lo habeis solucionado?
>>>
>>> Muchas Gracias
>>>
>>> David