soporte sobre auditoria

http://support.microsoft.com/kb/299475/es
http://support.microsoft.com/kb/301677/es

Saludos

Guillermo Delprato
MVP - MCT - MCSE - MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos. Este mensaje se proporciona "como está" sin
garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los
riesgos This posting is provided "AS IS" with no warranties, and
confers no rights. You assume all risk for your use.



jaime wrote:

Cual es el suceso que se crea en el visor de la eliminacion de una
carpeta que ha sido eliminada?.Existe auditoria.

http://support.microsoft.com/kb/299475/es
http://support.microsoft.com/kb/301677/es

Saludos

Guillermo Delprato
MVP - MCT - MCSE - MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos. Este mensaje se proporciona "como está" sin
garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los
riesgos This posting is provided "AS IS" with no warranties, and
confers no rights. You assume all risk for your use.



jaime wrote:

Cual es el suceso que se crea en el visor de la eliminacion de una
carpeta que ha sido eliminada?.Existe auditoria.

En windows 2003 no me funciona secedit /refreshpolicy

"José Antonio Quílez [MS MVP]" escribió en el
mensaje news:O$

¿La auditoría la tenías habilitada de antes o lo has hecho tras mi

mensaje? Lo digo porque la aplicación de las

directivas no es inmediata, sino que se hace al iniciar el equipo o

periódicamente, por lo que borrar el archivo tras

establecer la auditoría probablemente no aparezca en el visor de sucesos.
Una forma de forzar la aplicación de directivas es ejecutar en W2000

"secedit /refreshpolicy", o en XP un "gpupdate".

Saludos

José Antonio Quílez
Sevilla - España

"jaime" escribió en el mensaje

news:%

> Eso lo entiendo Jose, pero he eliminado ese fichero y no pone por

ningun

> lado que ha sido eliminado. La auditoria estaba ya puesta segun me has
> dicho.
>
>
> "José Antonio Quílez [MS MVP]" escribió en el
> mensaje news:uNq$
>> En Administración del equipo - Visor de sucesos - seguridad. Pero sólo

te

> mostrará los eventos a partir de que hayas
>> definido lo que te he puesto en el mensaje anterior; lo anterior no te
> aparecerá.
>>
>> Saludos
>>
>> José Antonio Quílez
>> Sevilla - España
>>
>> "jaime" escribió en el mensaje
> news:
>> > Donde pone que he eliminado ese archivo ??
>> >
>> >
>> > Tipo de suceso: Aciertos
>> > Origen del suceso: Security
>> > Categoría del suceso: Acceso de objetos
>> > Id. suceso: 560
>> > Fecha: 04/02/2005
>> > Hora: 17:06:46
>> > Usuario: USER
>> > Equipo: SERVER
>> > Descripción:
>> > Objeto abierto:
>> > Servidor de objetos: Security
>> > Tipo de objeto: File
>> > Nombre de objeto: E:\Datos\Administracion\jaime.xls
>> > Id. del identificador: 4896
>> > Id. de operación: {0,15289317}
>> > Id. de proceso: 4
>> > Nombre de proceso:
>> > Nombre de usuario principal: SERVER$
>> > Dominio principal: DOMAIN
>> > Id. de inicio de sesión principal: (0x0,0x3E7)
>> > Nombre de usuario del cliente: USERS
>> > Dominio de cliente: DOMAIN
>> > Id. de inicio de sesión del cliente: (0x0,0xDBE389)
>> > Accesos ReadData (o ListDirectory)
>> >
>> > Privilegios -
>> > Cuenta de Id de seguridad restringida: 0
>> > Máscara de acceso: 0x1
>> >
>> >
>> > Para obtener más información, vea el Centro de ayuda y soporte

técnico

> en
>> > http://go.microsoft.com/fwlink/events.asp.
>> >
>> >
>> >
>> > "José Antonio Quílez [MS MVP]" escribió en el
>> > mensaje news:u$
>> >> Debes habilitar la auditoría de acceso a objetos mediante políticas

de

>> > seguridad, y después en la raiz del disco o de la
>> >> estructura de carpetas que quieres controlar editas la seguridad,
> opciones
>> > avanzadas, y en Auditoría añades el grupo de
>> >> usuarios que quieres auditar (o todos) y una vez agregado

seleccionas

> que
>> > le audite "eliminar subcarpetas y archivos".
>> >> Los resultados los verás en el visor de sucesos - seguridad.
>> >>
>> >> Saludos
>> >>
>> >> José Antonio Quílez
>> >> Sevilla - España
>> >>
>> >> "jaime" escribió en el mensaje
>> > news:
>> >> > Cual es el suceso que se crea en el visor de la eliminacion de una
>> > carpeta
>> >> > que ha sido eliminada?.Existe auditoria.
>> >> >
>> >> >
>> >>
>> >>
>> >
>> >
>>
>>
>
>

En windows 2003 no me funciona secedit /refreshpolicy

"José Antonio Quílez [MS MVP]" escribió en el
mensaje news:O$

¿La auditoría la tenías habilitada de antes o lo has hecho tras mi

mensaje? Lo digo porque la aplicación de las

directivas no es inmediata, sino que se hace al iniciar el equipo o

periódicamente, por lo que borrar el archivo tras

establecer la auditoría probablemente no aparezca en el visor de sucesos.
Una forma de forzar la aplicación de directivas es ejecutar en W2000

"secedit /refreshpolicy", o en XP un "gpupdate".

Saludos

José Antonio Quílez
Sevilla - España

"jaime" escribió en el mensaje

news:%

> Eso lo entiendo Jose, pero he eliminado ese fichero y no pone por

ningun

> lado que ha sido eliminado. La auditoria estaba ya puesta segun me has
> dicho.
>
>
> "José Antonio Quílez [MS MVP]" escribió en el
> mensaje news:uNq$
>> En Administración del equipo - Visor de sucesos - seguridad. Pero sólo

te

> mostrará los eventos a partir de que hayas
>> definido lo que te he puesto en el mensaje anterior; lo anterior no te
> aparecerá.
>>
>> Saludos
>>
>> José Antonio Quílez
>> Sevilla - España
>>
>> "jaime" escribió en el mensaje
> news:
>> > Donde pone que he eliminado ese archivo ??
>> >
>> >
>> > Tipo de suceso: Aciertos
>> > Origen del suceso: Security
>> > Categoría del suceso: Acceso de objetos
>> > Id. suceso: 560
>> > Fecha: 04/02/2005
>> > Hora: 17:06:46
>> > Usuario: USER
>> > Equipo: SERVER
>> > Descripción:
>> > Objeto abierto:
>> > Servidor de objetos: Security
>> > Tipo de objeto: File
>> > Nombre de objeto: E:\Datos\Administracion\jaime.xls
>> > Id. del identificador: 4896
>> > Id. de operación: {0,15289317}
>> > Id. de proceso: 4
>> > Nombre de proceso:
>> > Nombre de usuario principal: SERVER$
>> > Dominio principal: DOMAIN
>> > Id. de inicio de sesión principal: (0x0,0x3E7)
>> > Nombre de usuario del cliente: USERS
>> > Dominio de cliente: DOMAIN
>> > Id. de inicio de sesión del cliente: (0x0,0xDBE389)
>> > Accesos ReadData (o ListDirectory)
>> >
>> > Privilegios -
>> > Cuenta de Id de seguridad restringida: 0
>> > Máscara de acceso: 0x1
>> >
>> >
>> > Para obtener más información, vea el Centro de ayuda y soporte

técnico

> en
>> > http://go.microsoft.com/fwlink/events.asp.
>> >
>> >
>> >
>> > "José Antonio Quílez [MS MVP]" escribió en el
>> > mensaje news:u$
>> >> Debes habilitar la auditoría de acceso a objetos mediante políticas

de

>> > seguridad, y después en la raiz del disco o de la
>> >> estructura de carpetas que quieres controlar editas la seguridad,
> opciones
>> > avanzadas, y en Auditoría añades el grupo de
>> >> usuarios que quieres auditar (o todos) y una vez agregado

seleccionas

> que
>> > le audite "eliminar subcarpetas y archivos".
>> >> Los resultados los verás en el visor de sucesos - seguridad.
>> >>
>> >> Saludos
>> >>
>> >> José Antonio Quílez
>> >> Sevilla - España
>> >>
>> >> "jaime" escribió en el mensaje
>> > news:
>> >> > Cual es el suceso que se crea en el visor de la eliminacion de una
>> > carpeta
>> >> > que ha sido eliminada?.Existe auditoria.
>> >> >
>> >> >
>> >>
>> >>
>> >
>> >
>>
>>
>
>

En 2003 usa gpupdate, aunque a estas horas ya se debería haber actualizado la política sin necesidad de forzarla.

Saludos

José Antonio Quílez
Sevilla - España
http://msmvps.com/quilez/

"jaime" escribió en el mensaje news:

En windows 2003 no me funciona secedit /refreshpolicy

"José Antonio Quílez [MS MVP]" escribió en el
mensaje news:O$

¿La auditoría la tenías habilitada de antes o lo has hecho tras mi

mensaje? Lo digo porque la aplicación de las

directivas no es inmediata, sino que se hace al iniciar el equipo o

periódicamente, por lo que borrar el archivo tras

establecer la auditoría probablemente no aparezca en el visor de sucesos.
Una forma de forzar la aplicación de directivas es ejecutar en W2000

"secedit /refreshpolicy", o en XP un "gpupdate".

Saludos

José Antonio Quílez
Sevilla - España

"jaime" escribió en el mensaje

news:%

> Eso lo entiendo Jose, pero he eliminado ese fichero y no pone por

ningun

> lado que ha sido eliminado. La auditoria estaba ya puesta segun me has
> dicho.
>
>
> "José Antonio Quílez [MS MVP]" escribió en el
> mensaje news:uNq$
>> En Administración del equipo - Visor de sucesos - seguridad. Pero sólo

te

> mostrará los eventos a partir de que hayas
>> definido lo que te he puesto en el mensaje anterior; lo anterior no te
> aparecerá.
>>
>> Saludos
>>
>> José Antonio Quílez
>> Sevilla - España
>>
>> "jaime" escribió en el mensaje
> news:
>> > Donde pone que he eliminado ese archivo ??
>> >
>> >
>> > Tipo de suceso: Aciertos
>> > Origen del suceso: Security
>> > Categoría del suceso: Acceso de objetos
>> > Id. suceso: 560
>> > Fecha: 04/02/2005
>> > Hora: 17:06:46
>> > Usuario: USER
>> > Equipo: SERVER
>> > Descripción:
>> > Objeto abierto:
>> > Servidor de objetos: Security
>> > Tipo de objeto: File
>> > Nombre de objeto: E:\Datos\Administracion\jaime.xls
>> > Id. del identificador: 4896
>> > Id. de operación: {0,15289317}
>> > Id. de proceso: 4
>> > Nombre de proceso:
>> > Nombre de usuario principal: SERVER$
>> > Dominio principal: DOMAIN
>> > Id. de inicio de sesión principal: (0x0,0x3E7)
>> > Nombre de usuario del cliente: USERS
>> > Dominio de cliente: DOMAIN
>> > Id. de inicio de sesión del cliente: (0x0,0xDBE389)
>> > Accesos ReadData (o ListDirectory)
>> >
>> > Privilegios -
>> > Cuenta de Id de seguridad restringida: 0
>> > Máscara de acceso: 0x1
>> >
>> >
>> > Para obtener más información, vea el Centro de ayuda y soporte

técnico

> en
>> > http://go.microsoft.com/fwlink/events.asp.
>> >
>> >
>> >
>> > "José Antonio Quílez [MS MVP]" escribió en el
>> > mensaje news:u$
>> >> Debes habilitar la auditoría de acceso a objetos mediante políticas

de

>> > seguridad, y después en la raiz del disco o de la
>> >> estructura de carpetas que quieres controlar editas la seguridad,
> opciones
>> > avanzadas, y en Auditoría añades el grupo de
>> >> usuarios que quieres auditar (o todos) y una vez agregado

seleccionas

> que
>> > le audite "eliminar subcarpetas y archivos".
>> >> Los resultados los verás en el visor de sucesos - seguridad.
>> >>
>> >> Saludos
>> >>
>> >> José Antonio Quílez
>> >> Sevilla - España
>> >>
>> >> "jaime" escribió en el mensaje
>> > news:
>> >> > Cual es el suceso que se crea en el visor de la eliminacion de una
>> > carpeta
>> >> > que ha sido eliminada?.Existe auditoria.
>> >> >
>> >> >
>> >>
>> >>
>> >
>> >
>>
>>
>
>