Auditar usuarios. Políticas de contraseñas

11/11/2004 - 09:58 por AntonioJ | Informe spam
Hola a tod@s,

ante todo daros las gracias por las anteriores cuestiones que he puesto en
este foro, y que han sido resueltas o al menos atendidas, que ya es mucho.

El servidor es Windows 2000 Server, y los clientes son 2000 Professional y XP.

Ahora me surjen dos cuestiones. Bueno, una cuestión y un problema.

La primera es referente a las reglas de auditoría. ¿Es posible establecer
auditoría para un usuario concreto?, y saber, por ejemplo, hora a la que
conecta/desconecta, donde, que recursos emplea. Así, vería en el registro de
seguridad sus movimientos de manera rápida, pues las reglas que he encontrado
en las directivas de seguridad son muy genéricas.

El problema hace referencia a la hora de establecer las reglas de
contraseñas. Estoy algo confuso, por los resultados que me da el sistema. De
momento, solo lo hago con usuarios de prueba.

Tengo establecidas las reglas de historial, tamaño y vigencia de la
contraseña en 'Directivas de seguridad del controlador de dominio' -> ... ->
'Directivas de cuenta' -> 'Directiva de contraseñas'.

De momento, veo algo raro en la opción 'Configuración de seguridad local'
... -> 'Directivas de cuenta' -> 'Directiva de contraseñas' del servidor (y
del cliente también). En la columna 'Configuración vigente' no me aparecen
las que he definido en 'Directivas de seguridad del controlador de dominio',
tienen el valor 'No está definido'. También establecí estas reglas en la
opción 'Directivas de seguridad de dominio', y nada.

Además, en el ordenador cliente, cuando me obliga el sistema a cambiar la
clave al usuario de prueba porque ha expirado (es la única regla que se
cumple), el texto que presenta el sistema a la hora de cambiar la contraseña
(indica historial y longitud mínima), cuando te equivocas, no tiene nada que
ver con las reglas que he definido. Creo que corresponden a la configuración
de seguridad local del equipo, que por supuesto, tampoco se actualiza con las
reglas definidas en 'Directivas de seguridad del controlador de dominio'.

He hecho también refresco de políticas, y nada.

Perdonad por lo extenso, pero quiero ponerlo con todo detalle, pues lo
probado y lo leido en las Communities no me han resuelto el problema.

Gracias como siempre.

Preguntas similare

Leer las respuestas

#1 Guillermo Delprato [MS-MVP]
11/11/2004 - 14:37 | Informe spam
Antonio, el tema de la auditoría a un usuario específico es doble. Para
conocer cuándo inicia sesión, lo debes hacer para todos, esto es, no se
puede por usuario. Pero en cambio si lo que quieres auditar es sobre
archivos o carpetas, entonces sí se puede seleccionar al usuario específico.
O sea, una no y la otra si

Respecto al segundo tema (contraseñas) todo lo que sean directivas de
cuentas se deben hacer solamente en la directiva de dominio, es la única que
toman las cuentas de dominio. Ten en cuenta además, que algunas opciones las
toma cuando actualiza las directivas, pero otras, como las de contraseñas,
generalmente las toma la próxima vez que el usuario cambia la contraseña


Saludos

Guillermo Delprato
MVP - MCT - MCSE - MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos. Este mensaje se proporciona "como está" sin
garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los
riesgos This posting is provided "AS IS" with no warranties, and
confers no rights. You assume all risk for your use.



In news:,
AntonioJ typed:
Hola a ,

ante todo daros las gracias por las anteriores cuestiones que he
puesto en este foro, y que han sido resueltas o al menos atendidas,
que ya es mucho.

El servidor es Windows 2000 Server, y los clientes son 2000
Professional y XP.

Ahora me surjen dos cuestiones. Bueno, una cuestión y un problema.

La primera es referente a las reglas de auditoría. ¿Es posible
establecer auditoría para un usuario concreto?, y saber, por ejemplo,
hora a la que conecta/desconecta, donde, que recursos emplea. Así,
vería en el registro de seguridad sus movimientos de manera rápida,
pues las reglas que he encontrado en las directivas de seguridad son
muy genéricas.

El problema hace referencia a la hora de establecer las reglas de
contraseñas. Estoy algo confuso, por los resultados que me da el
sistema. De momento, solo lo hago con usuarios de prueba.

Tengo establecidas las reglas de historial, tamaño y vigencia de la
contraseña en 'Directivas de seguridad del controlador de dominio' ->
... -> 'Directivas de cuenta' -> 'Directiva de contraseñas'.

De momento, veo algo raro en la opción 'Configuración de seguridad
local' ... -> 'Directivas de cuenta' -> 'Directiva de contraseñas'
del servidor (y del cliente también). En la columna 'Configuración
vigente' no me aparecen las que he definido en 'Directivas de
seguridad del controlador de dominio', tienen el valor 'No está
definido'. También establecí estas reglas en la opción 'Directivas de
seguridad de dominio', y nada.

Además, en el ordenador cliente, cuando me obliga el sistema a
cambiar la clave al usuario de prueba porque ha expirado (es la única
regla que se cumple), el texto que presenta el sistema a la hora de
cambiar la contraseña (indica historial y longitud mínima), cuando te
equivocas, no tiene nada que ver con las reglas que he definido. Creo
que corresponden a la configuración de seguridad local del equipo,
que por supuesto, tampoco se actualiza con las reglas definidas en
'Directivas de seguridad del controlador de dominio'.

He hecho también refresco de políticas, y nada.

Perdonad por lo extenso, pero quiero ponerlo con todo detalle, pues lo
probado y lo leido en las Communities no me han resuelto el problema.

Gracias como siempre.
Respuesta Responder a este mensaje
#2 AntonioJ
11/11/2004 - 15:03 | Informe spam
Gracias Guillermo.

Lo de auditoría me ha quedado claro.

Respecto a lo de las contraseñas, me indicas que es en 'Directivas de
seguridad del dominio', bien, pero aquí, por ejemplo, probé lo de auditar y
no aparecían los sucesos en el registro de seguridad. En cambio, audité en
'Directivas de seguridad del controlador de dominio' y se activaron de
inmediato.

Como puse en el primer mensaje, no se aplican las reglas de contraseñas ni
en uno ni en otro lado, y lo único que funciona es el período de vigencia (la
vigencia de la clave la establezco en un día para comprobar que funciona).

No se que puede estar pasando.


"Guillermo Delprato [MS-MVP]" wrote:

Antonio, el tema de la auditoría a un usuario específico es doble. Para
conocer cuándo inicia sesión, lo debes hacer para todos, esto es, no se
puede por usuario. Pero en cambio si lo que quieres auditar es sobre
archivos o carpetas, entonces sí se puede seleccionar al usuario específico.
O sea, una no y la otra si

Respecto al segundo tema (contraseñas) todo lo que sean directivas de
cuentas se deben hacer solamente en la directiva de dominio, es la única que
toman las cuentas de dominio. Ten en cuenta además, que algunas opciones las
toma cuando actualiza las directivas, pero otras, como las de contraseñas,
generalmente las toma la próxima vez que el usuario cambia la contraseña


Saludos

Guillermo Delprato
MVP - MCT - MCSE - MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos. Este mensaje se proporciona "como está" sin
garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los
riesgos This posting is provided "AS IS" with no warranties, and
confers no rights. You assume all risk for your use.



In news:,
AntonioJ typed:
> Hola a ,
>
> ante todo daros las gracias por las anteriores cuestiones que he
> puesto en este foro, y que han sido resueltas o al menos atendidas,
> que ya es mucho.
>
> El servidor es Windows 2000 Server, y los clientes son 2000
> Professional y XP.
>
> Ahora me surjen dos cuestiones. Bueno, una cuestión y un problema.
>
> La primera es referente a las reglas de auditoría. ¿Es posible
> establecer auditoría para un usuario concreto?, y saber, por ejemplo,
> hora a la que conecta/desconecta, donde, que recursos emplea. Así,
> vería en el registro de seguridad sus movimientos de manera rápida,
> pues las reglas que he encontrado en las directivas de seguridad son
> muy genéricas.
>
> El problema hace referencia a la hora de establecer las reglas de
> contraseñas. Estoy algo confuso, por los resultados que me da el
> sistema. De momento, solo lo hago con usuarios de prueba.
>
> Tengo establecidas las reglas de historial, tamaño y vigencia de la
> contraseña en 'Directivas de seguridad del controlador de dominio' ->
> ... -> 'Directivas de cuenta' -> 'Directiva de contraseñas'.
>
> De momento, veo algo raro en la opción 'Configuración de seguridad
> local' ... -> 'Directivas de cuenta' -> 'Directiva de contraseñas'
> del servidor (y del cliente también). En la columna 'Configuración
> vigente' no me aparecen las que he definido en 'Directivas de
> seguridad del controlador de dominio', tienen el valor 'No está
> definido'. También establecí estas reglas en la opción 'Directivas de
> seguridad de dominio', y nada.
>
> Además, en el ordenador cliente, cuando me obliga el sistema a
> cambiar la clave al usuario de prueba porque ha expirado (es la única
> regla que se cumple), el texto que presenta el sistema a la hora de
> cambiar la contraseña (indica historial y longitud mínima), cuando te
> equivocas, no tiene nada que ver con las reglas que he definido. Creo
> que corresponden a la configuración de seguridad local del equipo,
> que por supuesto, tampoco se actualiza con las reglas definidas en
> 'Directivas de seguridad del controlador de dominio'.
>
> He hecho también refresco de políticas, y nada.
>
> Perdonad por lo extenso, pero quiero ponerlo con todo detalle, pues lo
> probado y lo leido en las Communities no me han resuelto el problema.
>
> Gracias como siempre.



Respuesta Responder a este mensaje
#3 Guillermo Delprato [MS-MVP]
11/11/2004 - 15:22 | Informe spam
Algo poco formal, pero es como funciona: "Las directivas de cuentas, lo más
alto posible (dominio). La configuración de auditoría, lo más cerca posible
(UO)" y una sola directiva a nivel de dominio

Que el usuario del dominio cambie la contraseña dos veces para estar seguro
si se aplican o no. Además asegurarse que la máquina está bajando las
directivas actualizadas:
W2k: secedit /refreshpolicy machine_policy /enforce
W2k3/XP: gpupdate /force

Además tener en cuenta que por el comportamiento por omisión de XP, algunas
directivas pueden requerir hasta tres arranques de máquina para
efectivizarse


Saludos

Guillermo Delprato
MVP - MCT - MCSE - MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos. Este mensaje se proporciona "como está" sin
garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los
riesgos This posting is provided "AS IS" with no warranties, and
confers no rights. You assume all risk for your use.



In news:,
AntonioJ typed:
Gracias Guillermo.

Lo de auditoría me ha quedado claro.

Respecto a lo de las contraseñas, me indicas que es en 'Directivas de
seguridad del dominio', bien, pero aquí, por ejemplo, probé lo de
auditar y no aparecían los sucesos en el registro de seguridad. En
cambio, audité en 'Directivas de seguridad del controlador de
dominio' y se activaron de inmediato.

Como puse en el primer mensaje, no se aplican las reglas de
contraseñas ni en uno ni en otro lado, y lo único que funciona es el
período de vigencia (la vigencia de la clave la establezco en un día
para comprobar que funciona).

No se que puede estar pasando.


"Guillermo Delprato [MS-MVP]" wrote:

Antonio, el tema de la auditoría a un usuario específico es doble.
Para conocer cuándo inicia sesión, lo debes hacer para todos, esto
es, no se puede por usuario. Pero en cambio si lo que quieres
auditar es sobre archivos o carpetas, entonces sí se puede
seleccionar al usuario específico. O sea, una no y la otra si

Respecto al segundo tema (contraseñas) todo lo que sean directivas de
cuentas se deben hacer solamente en la directiva de dominio, es la
única que toman las cuentas de dominio. Ten en cuenta además, que
algunas opciones las toma cuando actualiza las directivas, pero
otras, como las de contraseñas, generalmente las toma la próxima vez
que el usuario cambia la contraseña


Saludos

Guillermo Delprato
MVP - MCT - MCSE - MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos. Este mensaje se proporciona "como está" sin
garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los
riesgos This posting is provided "AS IS" with no warranties, and
confers no rights. You assume all risk for your use.



In news:,
AntonioJ typed:
Hola a ,

ante todo daros las gracias por las anteriores cuestiones que he
puesto en este foro, y que han sido resueltas o al menos atendidas,
que ya es mucho.

El servidor es Windows 2000 Server, y los clientes son 2000
Professional y XP.

Ahora me surjen dos cuestiones. Bueno, una cuestión y un problema.

La primera es referente a las reglas de auditoría. ¿Es posible
establecer auditoría para un usuario concreto?, y saber, por
ejemplo, hora a la que conecta/desconecta, donde, que recursos
emplea. Así, vería en el registro de seguridad sus movimientos de
manera rápida, pues las reglas que he encontrado en las directivas
de seguridad son muy genéricas.

El problema hace referencia a la hora de establecer las reglas de
contraseñas. Estoy algo confuso, por los resultados que me da el
sistema. De momento, solo lo hago con usuarios de prueba.

Tengo establecidas las reglas de historial, tamaño y vigencia de la
contraseña en 'Directivas de seguridad del controlador de dominio'
-> ... -> 'Directivas de cuenta' -> 'Directiva de contraseñas'.

De momento, veo algo raro en la opción 'Configuración de seguridad
local' ... -> 'Directivas de cuenta' -> 'Directiva de contraseñas'
del servidor (y del cliente también). En la columna 'Configuración
vigente' no me aparecen las que he definido en 'Directivas de
seguridad del controlador de dominio', tienen el valor 'No está
definido'. También establecí estas reglas en la opción 'Directivas
de seguridad de dominio', y nada.

Además, en el ordenador cliente, cuando me obliga el sistema a
cambiar la clave al usuario de prueba porque ha expirado (es la
única regla que se cumple), el texto que presenta el sistema a la
hora de cambiar la contraseña (indica historial y longitud mínima),
cuando te equivocas, no tiene nada que ver con las reglas que he
definido. Creo que corresponden a la configuración de seguridad
local del equipo, que por supuesto, tampoco se actualiza con las
reglas definidas en 'Directivas de seguridad del controlador de
dominio'.

He hecho también refresco de políticas, y nada.

Perdonad por lo extenso, pero quiero ponerlo con todo detalle, pues
lo probado y lo leido en las Communities no me han resuelto el
problema.

Gracias como siempre.
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida