Auditar recurso compartido

Buenas grupo!
deseo auditar los cambios que se produzcan en un directorio que tengo
compartido en un 2003 Srv. pero no consigo ver en el visor de sucesos
ningún evento relacionado con ese directorio. Estos son los paso que
he realizado:
En el equipo DC y dentro de "Directiva de seguridad del controlador
del dominio" tengo definida la directiva "Auditar el acceso a
objetos" con los valores de "Correcto" y "Error" marcados.

Actualizo con gpupdate.

En el equipo donde está el recurso compartido, accedo a las
propiedades del directorio, y en "Opciones Avanzadas" - "Auditoría"
agrego al grupo "Usuarios del dominio" y le asigno la auditoría de
diferentes accesos (ejecutar, crear, borar, etc...). Esta es la única
entrada de auditoría que tengo definida y no figura como heredada.

Para probar los cambios, desde un equipo cualquiera de la red creo una
carpeta en dicho directorio, a continuación reviso en el visor de
sucesos del DC los eventos del grupo "Seguridad" (establezco un
filtro con Origen de suceso: Security / Categoría: Acceso a objetos /
Tipos de suceso: Información, aciertos, errores) y no veo reflejado
el suceso de creación de la carpeta.

Supongo que algo se me estará escapando... por favor, cualquier ayuda
será bienvenida ;-) !

Gracias,
Salu2!.

La auditoría queda reflejada en el visor de eventos de seguridad del
equipo auditado, no en el DC (si es que te he entendido bien y no es en el
DC donde está la carpeta compartida)

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.tururú@tururú.mvps.org
(No toques la corneta para escribirme)



Y fue Francisco Durante () quien en el mensaje
, planeando sobre su teclado, hizo un
picado y tecleó:

Buenas grupo!
deseo auditar los cambios que se produzcan en un directorio que tengo
compartido en un 2003 Srv. pero no consigo ver en el visor de sucesos
ningún evento relacionado con ese directorio. Estos son los paso que
he realizado:
En el equipo DC y dentro de "Directiva de seguridad del controlador
del dominio" tengo definida la directiva "Auditar el acceso a
objetos" con los valores de "Correcto" y "Error" marcados.

Actualizo con gpupdate.

En el equipo donde está el recurso compartido, accedo a las
propiedades del directorio, y en "Opciones Avanzadas" - "Auditoría"
agrego al grupo "Usuarios del dominio" y le asigno la auditoría de
diferentes accesos (ejecutar, crear, borar, etc...). Esta es la única
entrada de auditoría que tengo definida y no figura como heredada.

Para probar los cambios, desde un equipo cualquiera de la red creo una
carpeta en dicho directorio, a continuación reviso en el visor de
sucesos del DC los eventos del grupo "Seguridad" (establezco un
filtro con Origen de suceso: Security / Categoría: Acceso a objetos /
Tipos de suceso: Información, aciertos, errores) y no veo reflejado
el suceso de creación de la carpeta.

Supongo que algo se me estará escapando... por favor, cualquier ayuda
será bienvenida ;-) !

Gracias,
Salu2!.

Ok! tienes razón, estaba encabezonado en mirar en el visor del DC y
ahora al comprobar el visor del equipo donde reside la carpeta veo
que están reflejados las acciones sobre dicho recurso.

Un par de dudas mas que tengo aprovechando tu respuesta :-)
1º.
Donde es mejor establecer la auditoría, sobre la gpo del dominio o
sobre la gpo del DC?? Creo recordar que la del DC prevalece sobre la
del dominio, pero me gustaría una aclaración, mas que nada para dejar
la auditoría activada sobre una de las dos gpo y en la otra
desactivarla supongo que no influirá si están las dos activadas,
pero queda más "estético" jeje :-)
2º.
En el visor del DC , en los eventos relacionados con Seguridad se
repite mucho el suceso de Inicio/Cierre de sesión incluso en horas de
fuera de trabajo. Mis compañeros no suelen apagar sus equipos por la
noche, dejando la sesión abierta o bloqueada, así que me deja
totalmente fuera de juego esos registros...

Gracias por tu ayuda!
Salu2!.

"Fernando Reyes [MS MVP]"
escribió en el
mensaje news:

La auditoría queda reflejada en el visor de eventos de seguridad del
equipo auditado, no en el DC (si es que te he entendido bien y no es
en el DC donde está la carpeta compartida)

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.tururú@tururú.mvps.org
(No toques la corneta para escribirme)



Y fue Francisco Durante () quien en el mensaje
, planeando sobre su teclado,
hizo un picado y tecleó:

Buenas grupo!
deseo auditar los cambios que se produzcan en un directorio que
tengo compartido en un 2003 Srv. pero no consigo ver en el visor de
sucesos ningún evento relacionado con ese directorio. Estos son los
paso que he realizado:
En el equipo DC y dentro de "Directiva de seguridad del controlador
del dominio" tengo definida la directiva "Auditar el acceso a
objetos" con los valores de "Correcto" y "Error" marcados.

Actualizo con gpupdate.

En el equipo donde está el recurso compartido, accedo a las
propiedades del directorio, y en "Opciones Avanzadas" - "Auditoría"
agrego al grupo "Usuarios del dominio" y le asigno la auditoría de
diferentes accesos (ejecutar, crear, borar, etc...). Esta es la
única entrada de auditoría que tengo definida y no figura como
heredada. Para probar los cambios, desde un equipo cualquiera de la red
creo
una carpeta en dicho directorio, a continuación reviso en el visor
de sucesos del DC los eventos del grupo "Seguridad" (establezco un
filtro con Origen de suceso: Security / Categoría: Acceso a objetos
/ Tipos de suceso: Información, aciertos, errores) y no veo
reflejado el suceso de creación de la carpeta.

Supongo que algo se me estará escapando... por favor, cualquier
ayuda será bienvenida ;-) !

Gracias,
Salu2!.