Auditorias y eventos

Fernando, he mirado las directivas y estan aplicadas al Default
domain Policy y no en el que cree de pruebas.

Con eso en teoria deberia ver las auditorias sobre esa carpeta, y no
deberian llenarse los visrores de sucesos de los clientes de esta
forma no?

David

"Fernando Reyes [MS MVP]" wrote:

Claro, si las directivas de auditoría las estableces en una GPO
vinculada a una OU, afectarán a las cuentas de equipo que estén en
esa OU, provocando que se hagan entradas en el visor de sucesos de
seguridad. Si lo que quieres es que se auditen los accesos al
controlador de dominio, debes establecer las auditorías en la Defult
Domain Controllers Policy o en una GPO que vincules a la OU Domain
Controllers. Un par de tips:

Auditar el acceso a objetos
http://freyes.svetlian.com/tips/aud...bjetos.htm

Auditar inicio de sesión
http://freyes.svetlian.com/tips/aud...sesion.htm

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://www.bloglines.com/blog/urpiano

(Comete dos mandarinas si quieres escribirme)



Y fue David () quien en el mensaje
, planeando sobre
su teclado, hizo un picado y tecleó:

arrrgh, no no, lo he hecho en una Unidad organizativa nueva que he
creado para hacer las pruebas y he generado una directiva nueva.

Gracias Fernando , voy a probar, lo de que se llenen los visores de
sucesos de los clientes tiene algo que ver???

Muchas Gracias

David

"Fernando Reyes [MS MVP]" wrote:

¿Dónde activaste las auditorías, en Default Domain Policy? Debería
ser en Default Domain Controllers Policy.

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://www.bloglines.com/blog/urpiano
freyes.cañña.mvps.org
(Tómate dos cañas si quieres escribirme)



Y fue David () quien en el mensaje
, planeando sobre
su teclado, hizo un picado y tecleó:

SAludos a todos

Estuve probando auditorias, hay un hilo abierto anteriormente con
javier al respecto, pero hace bastante de ello por eso abro uno
nuevo.

Activé para probar auditorias en mi DC , puse auditar objetos
entre otras cosas, y audité una carpeta con un par de usuarios,
uno de ellos con pleno acceso y el otro sin acceso, auité errores
y correctos.

En teoria en el visor de sucesos del DC deberian aparecer estos
accesos pero solo aparecen inicios de sesión. En cambio a partir
de ese momento, empezaron a llamarme los usuarios , que no podian
acceder a sus PC's porque el regsitro de eventos de seguridad
estaba lleno.
Ciertamente se llenan con entradas de diferentes procesos
("normales") que corren los clientes, cuando antes no lo hacia, la
única forma de solucionarlo por el momento es que se sobreescriban
cuando sea necesario.

Con lo cual , no obtengo las auditorias que necesito , en cambio
se llenan los visores de seguridad de los clientes. A alguien le
ha pasado algo similar? , como lo habeis solucionado?

Muchas Gracias

David

Al hacerlo en la Default Domain Policiy se la estás aplicando a todos los
equipos del dominio, de ahí que se llenen los visores de sucesos de los
clientes. Debería estar aplicada en la Default Domain Controllers Policy

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://www.bloglines.com/blog/urpiano

(Cómete al correcaminos para escribirme)



Y fue David () quien en el mensaje
, planeando sobre su
teclado, hizo un picado y tecleó:

> Fernando, he mirado las directivas y estan aplicadas al Default
> domain Policy y no en el que cree de pruebas.
>
> Con eso en teoria deberia ver las auditorias sobre esa carpeta, y no
> deberian llenarse los visrores de sucesos de los clientes de esta
> forma no?
>
> David
>
> "Fernando Reyes [MS MVP]" wrote:
>
>> Claro, si las directivas de auditoría las estableces en una GPO
>> vinculada a una OU, afectarán a las cuentas de equipo que estén en
>> esa OU, provocando que se hagan entradas en el visor de sucesos de
>> seguridad. Si lo que quieres es que se auditen los accesos al
>> controlador de dominio, debes establecer las auditorías en la Defult
>> Domain Controllers Policy o en una GPO que vincules a la OU Domain
>> Controllers. Un par de tips:
>>
>> Auditar el acceso a objetos
>> http://freyes.svetlian.com/tips/aud...bjetos.htm
>>
>> Auditar inicio de sesión
>> http://freyes.svetlian.com/tips/aud...sesion.htm
>>
>> Un saludo
>> Fernando Reyes [MS MVP]
>> MCSE Windows 2000 / 2003
>> MCSA Windows Server 2003
>> http://freyes.svetlian.com
>> http://www.bloglines.com/blog/urpiano
>>
>> (Comete dos mandarinas si quieres escribirme)
>>
>>
>>
>> Y fue David () quien en el mensaje
>> , planeando sobre
>> su teclado, hizo un picado y tecleó:
>>
>>> arrrgh, no no, lo he hecho en una Unidad organizativa nueva que he
>>> creado para hacer las pruebas y he generado una directiva nueva.
>>>
>>> Gracias Fernando , voy a probar, lo de que se llenen los visores de
>>> sucesos de los clientes tiene algo que ver???
>>>
>>> Muchas Gracias
>>>
>>> David
>>>
>>> "Fernando Reyes [MS MVP]" wrote:
>>>
>>>> ¿Dónde activaste las auditorías, en Default Domain Policy? Debería
>>>> ser en Default Domain Controllers Policy.
>>>>
>>>> Un saludo
>>>> Fernando Reyes [MS MVP]
>>>> MCSE Windows 2000 / 2003
>>>> MCSA Windows Server 2003
>>>> http://freyes.svetlian.com
>>>> http://www.bloglines.com/blog/urpiano
>>>> freyes.cañña.mvps.org
>>>> (Tómate dos cañas si quieres escribirme)
>>>>
>>>>
>>>>
>>>> Y fue David () quien en el mensaje
>>>> , planeando sobre
>>>> su teclado, hizo un picado y tecleó:
>>>>
>>>>> SAludos a todos
>>>>>
>>>>> Estuve probando auditorias, hay un hilo abierto anteriormente con
>>>>> javier al respecto, pero hace bastante de ello por eso abro uno
>>>>> nuevo.
>>>>>
>>>>> Activé para probar auditorias en mi DC , puse auditar objetos
>>>>> entre otras cosas, y audité una carpeta con un par de usuarios,
>>>>> uno de ellos con pleno acceso y el otro sin acceso, auité errores
>>>>> y correctos.
>>>>>
>>>>> En teoria en el visor de sucesos del DC deberian aparecer estos
>>>>> accesos pero solo aparecen inicios de sesión. En cambio a partir
>>>>> de ese momento, empezaron a llamarme los usuarios , que no podian
>>>>> acceder a sus PC's porque el regsitro de eventos de seguridad
>>>>> estaba lleno.
>>>>> Ciertamente se llenan con entradas de diferentes procesos
>>>>> ("normales") que corren los clientes, cuando antes no lo hacia, la
>>>>> única forma de solucionarlo por el momento es que se sobreescriban
>>>>> cuando sea necesario.
>>>>>
>>>>> Con lo cual , no obtengo las auditorias que necesito , en cambio
>>>>> se llenan los visores de seguridad de los clientes. A alguien le
>>>>> ha pasado algo similar? , como lo habeis solucionado?
>>>>>
>>>>> Muchas Gracias
>>>>>
>>>>> David

El Default Domain Controllers Policy es directiva que se encuentra
dentro de una unidad organizativa que cuelga dentro del dominio que
se llama Domain controllers y dentro de la cual solo hay un computer
que es el servidor del dominio, es correcto esto?. Si aplico aquí las
auditorias se aplicaran correctamente sobre el dominio a quien
corresponda ser auditado???

David

"Fernando Reyes [MS MVP]" wrote:

Al hacerlo en la Default Domain Policiy se la estás aplicando a
todos los equipos del dominio, de ahí que se llenen los visores de
sucesos de los clientes. Debería estar aplicada en la Default Domain
Controllers Policy

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://www.bloglines.com/blog/urpiano

(Cómete al correcaminos para escribirme)



Y fue David () quien en el mensaje
, planeando sobre
su teclado, hizo un picado y tecleó:

Fernando, he mirado las directivas y estan aplicadas al Default
domain Policy y no en el que cree de pruebas.

Con eso en teoria deberia ver las auditorias sobre esa carpeta, y no
deberian llenarse los visrores de sucesos de los clientes de esta
forma no?

David

"Fernando Reyes [MS MVP]" wrote:

Claro, si las directivas de auditoría las estableces en una GPO
vinculada a una OU, afectarán a las cuentas de equipo que estén en
esa OU, provocando que se hagan entradas en el visor de sucesos de
seguridad. Si lo que quieres es que se auditen los accesos al
controlador de dominio, debes establecer las auditorías en la
Defult Domain Controllers Policy o en una GPO que vincules a la OU
Domain Controllers. Un par de tips:

Auditar el acceso a objetos
http://freyes.svetlian.com/tips/aud...bjetos.htm

Auditar inicio de sesión
http://freyes.svetlian.com/tips/aud...sesion.htm

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://www.bloglines.com/blog/urpiano

(Comete dos mandarinas si quieres escribirme)



Y fue David () quien en el mensaje
, planeando sobre
su teclado, hizo un picado y tecleó:

arrrgh, no no, lo he hecho en una Unidad organizativa nueva que he
creado para hacer las pruebas y he generado una directiva nueva.

Gracias Fernando , voy a probar, lo de que se llenen los visores
de sucesos de los clientes tiene algo que ver???

Muchas Gracias

David

"Fernando Reyes [MS MVP]" wrote:

¿Dónde activaste las auditorías, en Default Domain Policy?
Debería ser en Default Domain Controllers Policy.

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://www.bloglines.com/blog/urpiano
freyes.cañña.mvps.org
(Tómate dos cañas si quieres escribirme)



Y fue David () quien en el mensaje
, planeando
sobre su teclado, hizo un picado y tecleó:

SAludos a todos

Estuve probando auditorias, hay un hilo abierto anteriormente
con javier al respecto, pero hace bastante de ello por eso abro
uno nuevo.

Activé para probar auditorias en mi DC , puse auditar objetos
entre otras cosas, y audité una carpeta con un par de usuarios,
uno de ellos con pleno acceso y el otro sin acceso, auité
errores y correctos.

En teoria en el visor de sucesos del DC deberian aparecer estos
accesos pero solo aparecen inicios de sesión. En cambio a partir
de ese momento, empezaron a llamarme los usuarios , que no
podian acceder a sus PC's porque el regsitro de eventos de
seguridad estaba lleno.
Ciertamente se llenan con entradas de diferentes procesos
("normales") que corren los clientes, cuando antes no lo hacia,
la única forma de solucionarlo por el momento es que se
sobreescriban cuando sea necesario.

Con lo cual , no obtengo las auditorias que necesito , en cambio
se llenan los visores de seguridad de los clientes. A alguien le
ha pasado algo similar? , como lo habeis solucionado?

Muchas Gracias

David

Depende de qué auditorías estés aplicando. Como me ha parecido entender que
quieres auditar los accesos a una carpeta que está en un controlador de
dominio, debes auditar objetos y establecer este tipo de auitoría en una GPO
que esté en Domain Controllers, como es la Default Domain Controllers
Policy.

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://www.bloglines.com/blog/urpiano

(No escupas como un árabe para escribirme)



Y fue David () quien en el mensaje
, planeando sobre su
teclado, hizo un picado y tecleó:

> El Default Domain Controllers Policy es directiva que se encuentra
> dentro de una unidad organizativa que cuelga dentro del dominio que
> se llama Domain controllers y dentro de la cual solo hay un computer
> que es el servidor del dominio, es correcto esto?. Si aplico aquí las
> auditorias se aplicaran correctamente sobre el dominio a quien
> corresponda ser auditado???
>
> David
>
> "Fernando Reyes [MS MVP]" wrote:
>
>> Al hacerlo en la Default Domain Policiy se la estás aplicando a
>> todos los equipos del dominio, de ahí que se llenen los visores de
>> sucesos de los clientes. Debería estar aplicada en la Default Domain
>> Controllers Policy
>>
>> Un saludo
>> Fernando Reyes [MS MVP]
>> MCSE Windows 2000 / 2003
>> MCSA Windows Server 2003
>> http://freyes.svetlian.com
>> http://www.bloglines.com/blog/urpiano
>>
>> (Cómete al correcaminos para escribirme)
>>
>>
>>
>> Y fue David () quien en el mensaje
>> , planeando sobre
>> su teclado, hizo un picado y tecleó:
>>
>>> Fernando, he mirado las directivas y estan aplicadas al Default
>>> domain Policy y no en el que cree de pruebas.
>>>
>>> Con eso en teoria deberia ver las auditorias sobre esa carpeta, y no
>>> deberian llenarse los visrores de sucesos de los clientes de esta
>>> forma no?
>>>
>>> David
>>>
>>> "Fernando Reyes [MS MVP]" wrote:
>>>
>>>> Claro, si las directivas de auditoría las estableces en una GPO
>>>> vinculada a una OU, afectarán a las cuentas de equipo que estén en
>>>> esa OU, provocando que se hagan entradas en el visor de sucesos de
>>>> seguridad. Si lo que quieres es que se auditen los accesos al
>>>> controlador de dominio, debes establecer las auditorías en la
>>>> Defult Domain Controllers Policy o en una GPO que vincules a la OU
>>>> Domain Controllers. Un par de tips:
>>>>
>>>> Auditar el acceso a objetos
>>>> http://freyes.svetlian.com/tips/aud...bjetos.htm
>>>>
>>>> Auditar inicio de sesión
>>>> http://freyes.svetlian.com/tips/aud...sesion.htm
>>>>
>>>> Un saludo
>>>> Fernando Reyes [MS MVP]
>>>> MCSE Windows 2000 / 2003
>>>> MCSA Windows Server 2003
>>>> http://freyes.svetlian.com
>>>> http://www.bloglines.com/blog/urpiano
>>>>
>>>> (Comete dos mandarinas si quieres escribirme)
>>>>
>>>>
>>>>
>>>> Y fue David () quien en el mensaje
>>>> , planeando sobre
>>>> su teclado, hizo un picado y tecleó:
>>>>
>>>>> arrrgh, no no, lo he hecho en una Unidad organizativa nueva que he
>>>>> creado para hacer las pruebas y he generado una directiva nueva.
>>>>>
>>>>> Gracias Fernando , voy a probar, lo de que se llenen los visores
>>>>> de sucesos de los clientes tiene algo que ver???
>>>>>
>>>>> Muchas Gracias
>>>>>
>>>>> David
>>>>>
>>>>> "Fernando Reyes [MS MVP]" wrote:
>>>>>
>>>>>> ¿Dónde activaste las auditorías, en Default Domain Policy?
>>>>>> Debería ser en Default Domain Controllers Policy.
>>>>>>
>>>>>> Un saludo
>>>>>> Fernando Reyes [MS MVP]
>>>>>> MCSE Windows 2000 / 2003
>>>>>> MCSA Windows Server 2003
>>>>>> http://freyes.svetlian.com
>>>>>> http://www.bloglines.com/blog/urpiano
>>>>>> freyes.cañña.mvps.org
>>>>>> (Tómate dos cañas si quieres escribirme)
>>>>>>
>>>>>>
>>>>>>
>>>>>> Y fue David () quien en el mensaje
>>>>>> , planeando
>>>>>> sobre su teclado, hizo un picado y tecleó:
>>>>>>
>>>>>>> SAludos a todos
>>>>>>>
>>>>>>> Estuve probando auditorias, hay un hilo abierto anteriormente
>>>>>>> con javier al respecto, pero hace bastante de ello por eso abro
>>>>>>> uno nuevo.
>>>>>>>
>>>>>>> Activé para probar auditorias en mi DC , puse auditar objetos
>>>>>>> entre otras cosas, y audité una carpeta con un par de usuarios,
>>>>>>> uno de ellos con pleno acceso y el otro sin acceso, auité
>>>>>>> errores y correctos.
>>>>>>>
>>>>>>> En teoria en el visor de sucesos del DC deberian aparecer estos
>>>>>>> accesos pero solo aparecen inicios de sesión. En cambio a partir
>>>>>>> de ese momento, empezaron a llamarme los usuarios , que no
>>>>>>> podian acceder a sus PC's porque el regsitro de eventos de
>>>>>>> seguridad estaba lleno.
>>>>>>> Ciertamente se llenan con entradas de diferentes procesos
>>>>>>> ("normales") que corren los clientes, cuando antes no lo hacia,
>>>>>>> la única forma de solucionarlo por el momento es que se
>>>>>>> sobreescriban cuando sea necesario.
>>>>>>>
>>>>>>> Con lo cual , no obtengo las auditorias que necesito , en cambio
>>>>>>> se llenan los visores de seguridad de los clientes. A alguien le
>>>>>>> ha pasado algo similar? , como lo habeis solucionado?
>>>>>>>
>>>>>>> Muchas Gracias
>>>>>>>
>>>>>>> David