soporte sobre auditoria

En Administración del equipo - Visor de sucesos - seguridad. Pero sólo te mostrará los eventos a partir de que hayas
definido lo que te he puesto en el mensaje anterior; lo anterior no te aparecerá.

Saludos

José Antonio Quílez
Sevilla - España

"jaime" escribió en el mensaje news:

Donde pone que he eliminado ese archivo ??


Tipo de suceso: Aciertos
Origen del suceso: Security
Categoría del suceso: Acceso de objetos
Id. suceso: 560
Fecha: 04/02/2005
Hora: 17:06:46
Usuario: USER
Equipo: SERVER
Descripción:
Objeto abierto:
Servidor de objetos: Security
Tipo de objeto: File
Nombre de objeto: E:\Datos\Administracion\jaime.xls
Id. del identificador: 4896
Id. de operación: {0,15289317}
Id. de proceso: 4
Nombre de proceso:
Nombre de usuario principal: SERVER$
Dominio principal: DOMAIN
Id. de inicio de sesión principal: (0x0,0x3E7)
Nombre de usuario del cliente: USERS
Dominio de cliente: DOMAIN
Id. de inicio de sesión del cliente: (0x0,0xDBE389)
Accesos ReadData (o ListDirectory)

Privilegios -
Cuenta de Id de seguridad restringida: 0
Máscara de acceso: 0x1


Para obtener más información, vea el Centro de ayuda y soporte técnico en
http://go.microsoft.com/fwlink/events.asp.



"José Antonio Quílez [MS MVP]" escribió en el
mensaje news:u$

Debes habilitar la auditoría de acceso a objetos mediante políticas de

seguridad, y después en la raiz del disco o de la

estructura de carpetas que quieres controlar editas la seguridad, opciones

avanzadas, y en Auditoría añades el grupo de

usuarios que quieres auditar (o todos) y una vez agregado seleccionas que

le audite "eliminar subcarpetas y archivos".

Los resultados los verás en el visor de sucesos - seguridad.

Saludos

José Antonio Quílez
Sevilla - España

"jaime" escribió en el mensaje

news:

> Cual es el suceso que se crea en el visor de la eliminacion de una

carpeta

> que ha sido eliminada?.Existe auditoria.
>
>

Eso lo entiendo Jose, pero he eliminado ese fichero y no pone por ningun
lado que ha sido eliminado. La auditoria estaba ya puesta segun me has
dicho.


"José Antonio Quílez [MS MVP]" escribió en el
mensaje news:uNq$

En Administración del equipo - Visor de sucesos - seguridad. Pero sólo te

mostrará los eventos a partir de que hayas

definido lo que te he puesto en el mensaje anterior; lo anterior no te

aparecerá.

Saludos

José Antonio Quílez
Sevilla - España

"jaime" escribió en el mensaje

news:

> Donde pone que he eliminado ese archivo ??
>
>
> Tipo de suceso: Aciertos
> Origen del suceso: Security
> Categoría del suceso: Acceso de objetos
> Id. suceso: 560
> Fecha: 04/02/2005
> Hora: 17:06:46
> Usuario: USER
> Equipo: SERVER
> Descripción:
> Objeto abierto:
> Servidor de objetos: Security
> Tipo de objeto: File
> Nombre de objeto: E:\Datos\Administracion\jaime.xls
> Id. del identificador: 4896
> Id. de operación: {0,15289317}
> Id. de proceso: 4
> Nombre de proceso:
> Nombre de usuario principal: SERVER$
> Dominio principal: DOMAIN
> Id. de inicio de sesión principal: (0x0,0x3E7)
> Nombre de usuario del cliente: USERS
> Dominio de cliente: DOMAIN
> Id. de inicio de sesión del cliente: (0x0,0xDBE389)
> Accesos ReadData (o ListDirectory)
>
> Privilegios -
> Cuenta de Id de seguridad restringida: 0
> Máscara de acceso: 0x1
>
>
> Para obtener más información, vea el Centro de ayuda y soporte técnico

en

> http://go.microsoft.com/fwlink/events.asp.
>
>
>
> "José Antonio Quílez [MS MVP]" escribió en el
> mensaje news:u$
>> Debes habilitar la auditoría de acceso a objetos mediante políticas de
> seguridad, y después en la raiz del disco o de la
>> estructura de carpetas que quieres controlar editas la seguridad,

opciones

> avanzadas, y en Auditoría añades el grupo de
>> usuarios que quieres auditar (o todos) y una vez agregado seleccionas

que

> le audite "eliminar subcarpetas y archivos".
>> Los resultados los verás en el visor de sucesos - seguridad.
>>
>> Saludos
>>
>> José Antonio Quílez
>> Sevilla - España
>>
>> "jaime" escribió en el mensaje
> news:
>> > Cual es el suceso que se crea en el visor de la eliminacion de una
> carpeta
>> > que ha sido eliminada?.Existe auditoria.
>> >
>> >
>>
>>
>
>

Eso lo entiendo Jose, pero he eliminado ese fichero y no pone por ningun
lado que ha sido eliminado. La auditoria estaba ya puesta segun me has
dicho.


"José Antonio Quílez [MS MVP]" escribió en el
mensaje news:uNq$

En Administración del equipo - Visor de sucesos - seguridad. Pero sólo te

mostrará los eventos a partir de que hayas

definido lo que te he puesto en el mensaje anterior; lo anterior no te

aparecerá.

Saludos

José Antonio Quílez
Sevilla - España

"jaime" escribió en el mensaje

news:

> Donde pone que he eliminado ese archivo ??
>
>
> Tipo de suceso: Aciertos
> Origen del suceso: Security
> Categoría del suceso: Acceso de objetos
> Id. suceso: 560
> Fecha: 04/02/2005
> Hora: 17:06:46
> Usuario: USER
> Equipo: SERVER
> Descripción:
> Objeto abierto:
> Servidor de objetos: Security
> Tipo de objeto: File
> Nombre de objeto: E:\Datos\Administracion\jaime.xls
> Id. del identificador: 4896
> Id. de operación: {0,15289317}
> Id. de proceso: 4
> Nombre de proceso:
> Nombre de usuario principal: SERVER$
> Dominio principal: DOMAIN
> Id. de inicio de sesión principal: (0x0,0x3E7)
> Nombre de usuario del cliente: USERS
> Dominio de cliente: DOMAIN
> Id. de inicio de sesión del cliente: (0x0,0xDBE389)
> Accesos ReadData (o ListDirectory)
>
> Privilegios -
> Cuenta de Id de seguridad restringida: 0
> Máscara de acceso: 0x1
>
>
> Para obtener más información, vea el Centro de ayuda y soporte técnico

en

> http://go.microsoft.com/fwlink/events.asp.
>
>
>
> "José Antonio Quílez [MS MVP]" escribió en el
> mensaje news:u$
>> Debes habilitar la auditoría de acceso a objetos mediante políticas de
> seguridad, y después en la raiz del disco o de la
>> estructura de carpetas que quieres controlar editas la seguridad,

opciones

> avanzadas, y en Auditoría añades el grupo de
>> usuarios que quieres auditar (o todos) y una vez agregado seleccionas

que

> le audite "eliminar subcarpetas y archivos".
>> Los resultados los verás en el visor de sucesos - seguridad.
>>
>> Saludos
>>
>> José Antonio Quílez
>> Sevilla - España
>>
>> "jaime" escribió en el mensaje
> news:
>> > Cual es el suceso que se crea en el visor de la eliminacion de una
> carpeta
>> > que ha sido eliminada?.Existe auditoria.
>> >
>> >
>>
>>
>
>

¿La auditoría la tenías habilitada de antes o lo has hecho tras mi mensaje? Lo digo porque la aplicación de las
directivas no es inmediata, sino que se hace al iniciar el equipo o periódicamente, por lo que borrar el archivo tras
establecer la auditoría probablemente no aparezca en el visor de sucesos.
Una forma de forzar la aplicación de directivas es ejecutar en W2000 "secedit /refreshpolicy", o en XP un "gpupdate".

Saludos

José Antonio Quílez
Sevilla - España

"jaime" escribió en el mensaje news:%

Eso lo entiendo Jose, pero he eliminado ese fichero y no pone por ningun
lado que ha sido eliminado. La auditoria estaba ya puesta segun me has
dicho.


"José Antonio Quílez [MS MVP]" escribió en el
mensaje news:uNq$

En Administración del equipo - Visor de sucesos - seguridad. Pero sólo te

mostrará los eventos a partir de que hayas

definido lo que te he puesto en el mensaje anterior; lo anterior no te

aparecerá.

Saludos

José Antonio Quílez
Sevilla - España

"jaime" escribió en el mensaje

news:

> Donde pone que he eliminado ese archivo ??
>
>
> Tipo de suceso: Aciertos
> Origen del suceso: Security
> Categoría del suceso: Acceso de objetos
> Id. suceso: 560
> Fecha: 04/02/2005
> Hora: 17:06:46
> Usuario: USER
> Equipo: SERVER
> Descripción:
> Objeto abierto:
> Servidor de objetos: Security
> Tipo de objeto: File
> Nombre de objeto: E:\Datos\Administracion\jaime.xls
> Id. del identificador: 4896
> Id. de operación: {0,15289317}
> Id. de proceso: 4
> Nombre de proceso:
> Nombre de usuario principal: SERVER$
> Dominio principal: DOMAIN
> Id. de inicio de sesión principal: (0x0,0x3E7)
> Nombre de usuario del cliente: USERS
> Dominio de cliente: DOMAIN
> Id. de inicio de sesión del cliente: (0x0,0xDBE389)
> Accesos ReadData (o ListDirectory)
>
> Privilegios -
> Cuenta de Id de seguridad restringida: 0
> Máscara de acceso: 0x1
>
>
> Para obtener más información, vea el Centro de ayuda y soporte técnico

en

> http://go.microsoft.com/fwlink/events.asp.
>
>
>
> "José Antonio Quílez [MS MVP]" escribió en el
> mensaje news:u$
>> Debes habilitar la auditoría de acceso a objetos mediante políticas de
> seguridad, y después en la raiz del disco o de la
>> estructura de carpetas que quieres controlar editas la seguridad,

opciones

> avanzadas, y en Auditoría añades el grupo de
>> usuarios que quieres auditar (o todos) y una vez agregado seleccionas

que

> le audite "eliminar subcarpetas y archivos".
>> Los resultados los verás en el visor de sucesos - seguridad.
>>
>> Saludos
>>
>> José Antonio Quílez
>> Sevilla - España
>>
>> "jaime" escribió en el mensaje
> news:
>> > Cual es el suceso que se crea en el visor de la eliminacion de una
> carpeta
>> > que ha sido eliminada?.Existe auditoria.
>> >
>> >
>>
>>
>
>

¿La auditoría la tenías habilitada de antes o lo has hecho tras mi mensaje? Lo digo porque la aplicación de las
directivas no es inmediata, sino que se hace al iniciar el equipo o periódicamente, por lo que borrar el archivo tras
establecer la auditoría probablemente no aparezca en el visor de sucesos.
Una forma de forzar la aplicación de directivas es ejecutar en W2000 "secedit /refreshpolicy", o en XP un "gpupdate".

Saludos

José Antonio Quílez
Sevilla - España

"jaime" escribió en el mensaje news:%

Eso lo entiendo Jose, pero he eliminado ese fichero y no pone por ningun
lado que ha sido eliminado. La auditoria estaba ya puesta segun me has
dicho.


"José Antonio Quílez [MS MVP]" escribió en el
mensaje news:uNq$

En Administración del equipo - Visor de sucesos - seguridad. Pero sólo te

mostrará los eventos a partir de que hayas

definido lo que te he puesto en el mensaje anterior; lo anterior no te

aparecerá.

Saludos

José Antonio Quílez
Sevilla - España

"jaime" escribió en el mensaje

news:

> Donde pone que he eliminado ese archivo ??
>
>
> Tipo de suceso: Aciertos
> Origen del suceso: Security
> Categoría del suceso: Acceso de objetos
> Id. suceso: 560
> Fecha: 04/02/2005
> Hora: 17:06:46
> Usuario: USER
> Equipo: SERVER
> Descripción:
> Objeto abierto:
> Servidor de objetos: Security
> Tipo de objeto: File
> Nombre de objeto: E:\Datos\Administracion\jaime.xls
> Id. del identificador: 4896
> Id. de operación: {0,15289317}
> Id. de proceso: 4
> Nombre de proceso:
> Nombre de usuario principal: SERVER$
> Dominio principal: DOMAIN
> Id. de inicio de sesión principal: (0x0,0x3E7)
> Nombre de usuario del cliente: USERS
> Dominio de cliente: DOMAIN
> Id. de inicio de sesión del cliente: (0x0,0xDBE389)
> Accesos ReadData (o ListDirectory)
>
> Privilegios -
> Cuenta de Id de seguridad restringida: 0
> Máscara de acceso: 0x1
>
>
> Para obtener más información, vea el Centro de ayuda y soporte técnico

en

> http://go.microsoft.com/fwlink/events.asp.
>
>
>
> "José Antonio Quílez [MS MVP]" escribió en el
> mensaje news:u$
>> Debes habilitar la auditoría de acceso a objetos mediante políticas de
> seguridad, y después en la raiz del disco o de la
>> estructura de carpetas que quieres controlar editas la seguridad,

opciones

> avanzadas, y en Auditoría añades el grupo de
>> usuarios que quieres auditar (o todos) y una vez agregado seleccionas

que

> le audite "eliminar subcarpetas y archivos".
>> Los resultados los verás en el visor de sucesos - seguridad.
>>
>> Saludos
>>
>> José Antonio Quílez
>> Sevilla - España
>>
>> "jaime" escribió en el mensaje
> news:
>> > Cual es el suceso que se crea en el visor de la eliminacion de una
> carpeta
>> > que ha sido eliminada?.Existe auditoria.
>> >
>> >
>>
>>
>
>