Auditoria de usuarios

25/02/2004 - 13:50 por Carlos Marcos | Informe spam
Buenos días!

Tengo un problema,

Necesito realizar una auditoria de los inicios de sesión tanto de los
equipos que se conectan a un dominio como de los usuarios.

Me bastaría con saber como puedo hacer para saber cuando se ha conectado un
equipo al dominio. Estoy en un estado de estancación porque no se como
hacerlo.

He buscado información sobre auditorias de inicio de sesión de cuenta pero
resulta que si se bloquea el equipo tambien lo considera como un nuevo
inicio. Resumiendo, lo que quiero hacer es que el sistema me indique cuando
un equipo del dominio esta encendido y cuando apagado.


Un saludo y muchas gracias de antemano.

Preguntas similare

Leer las respuestas

#1 Fernando Rubio [MS]
25/02/2004 - 14:39 | Informe spam
hola Carlos
Lo que estas buscando es la auditoria de inicios de sesión tal y como has
intentado.Si bien es cierto que tambien dejara un evento al desbloquear la
máquina (y en otras ocasiones) verás que los ID de dichos eventos no son los
mismos.
Te dejo aqui una descripcción de todos los eventos y sus descripcciones.
Un saludo
Fernando Rubio
174073 Auditing User Authentication
http://support.microsoft.com/?id4073
299475 Windows 2000 Security Event Descriptions (Part 1 of 2)
http://support.microsoft.com/?id)9475
301677 Windows 2000 Security Event Descriptions (Part 2 of 2)
http://support.microsoft.com/?id01677

<este mensaje se proporciona como esta y no ofrece garantias de ninguna
clase>

"Carlos Marcos" escribió en el mensaje
news:%23ZAju35%
Buenos días!

Tengo un problema,

Necesito realizar una auditoria de los inicios de sesión tanto de los
equipos que se conectan a un dominio como de los usuarios.

Me bastaría con saber como puedo hacer para saber cuando se ha conectado


un
equipo al dominio. Estoy en un estado de estancación porque no se como
hacerlo.

He buscado información sobre auditorias de inicio de sesión de cuenta pero
resulta que si se bloquea el equipo tambien lo considera como un nuevo
inicio. Resumiendo, lo que quiero hacer es que el sistema me indique


cuando
un equipo del dominio esta encendido y cuando apagado.


Un saludo y muchas gracias de antemano.


Respuesta Responder a este mensaje
#2 Carlos Marcos
25/02/2004 - 16:42 | Informe spam
Si mal no he entendido he de buscar los id de suceso 528 que son los de
inicio de sesión. El problema es que tengo 2 controladores de dominio y he
puesto la política de seguridad en la directiva de seguridad de controlador
de dominio de ambos pero no me registra ningún evento con el id 528.

qué puede estar mal? Si te sirve de ayuda estoy auditando los inicios de
sesión de cuenta.

Muchas gracias por todo.


"Fernando Rubio [MS]" escribió en el mensaje
news:%23grtOU6%
hola Carlos
Lo que estas buscando es la auditoria de inicios de sesión tal y como has
intentado.Si bien es cierto que tambien dejara un evento al desbloquear la
máquina (y en otras ocasiones) verás que los ID de dichos eventos no son


los
mismos.
Te dejo aqui una descripcción de todos los eventos y sus descripcciones.
Un saludo
Fernando Rubio
174073 Auditing User Authentication
http://support.microsoft.com/?id4073
299475 Windows 2000 Security Event Descriptions (Part 1 of 2)
http://support.microsoft.com/?id)9475
301677 Windows 2000 Security Event Descriptions (Part 2 of 2)
http://support.microsoft.com/?id01677

<este mensaje se proporciona como esta y no ofrece garantias de ninguna
clase>

"Carlos Marcos" escribió en el mensaje
news:%23ZAju35%
> Buenos días!
>
> Tengo un problema,
>
> Necesito realizar una auditoria de los inicios de sesión tanto de los
> equipos que se conectan a un dominio como de los usuarios.
>
> Me bastaría con saber como puedo hacer para saber cuando se ha conectado
un
> equipo al dominio. Estoy en un estado de estancación porque no se como
> hacerlo.
>
> He buscado información sobre auditorias de inicio de sesión de cuenta


pero
> resulta que si se bloquea el equipo tambien lo considera como un nuevo
> inicio. Resumiendo, lo que quiero hacer es que el sistema me indique
cuando
> un equipo del dominio esta encendido y cuando apagado.
>
>
> Un saludo y muchas gracias de antemano.
>
>


Respuesta Responder a este mensaje
#3 Fernando Rubio [MS]
25/02/2004 - 16:56 | Informe spam
Hola Carlos

Ahora de memoria no seguro, pero no era inicio de sesión de cuenta?
Un saludo
Fernando Rubio

<este mensaje se proporciona como esta y no ofrece garantias de ninguna
clase>


"Carlos Marcos" escribió en el mensaje
news:eQDO9X7%
Si mal no he entendido he de buscar los id de suceso 528 que son los de
inicio de sesión. El problema es que tengo 2 controladores de dominio y he
puesto la política de seguridad en la directiva de seguridad de


controlador
de dominio de ambos pero no me registra ningún evento con el id 528.

qué puede estar mal? Si te sirve de ayuda estoy auditando los inicios de
sesión de cuenta.

Muchas gracias por todo.


"Fernando Rubio [MS]" escribió en el


mensaje
news:%23grtOU6%
> hola Carlos
> Lo que estas buscando es la auditoria de inicios de sesión tal y como


has
> intentado.Si bien es cierto que tambien dejara un evento al desbloquear


la
> máquina (y en otras ocasiones) verás que los ID de dichos eventos no son
los
> mismos.
> Te dejo aqui una descripcción de todos los eventos y sus descripcciones.
> Un saludo
> Fernando Rubio
> 174073 Auditing User Authentication
> http://support.microsoft.com/?id4073
> 299475 Windows 2000 Security Event Descriptions (Part 1 of 2)
> http://support.microsoft.com/?id)9475
> 301677 Windows 2000 Security Event Descriptions (Part 2 of 2)
> http://support.microsoft.com/?id01677
>
> <este mensaje se proporciona como esta y no ofrece garantias de ninguna
> clase>
>
> "Carlos Marcos" escribió en el mensaje
> news:%23ZAju35%
> > Buenos días!
> >
> > Tengo un problema,
> >
> > Necesito realizar una auditoria de los inicios de sesión tanto de los
> > equipos que se conectan a un dominio como de los usuarios.
> >
> > Me bastaría con saber como puedo hacer para saber cuando se ha


conectado
> un
> > equipo al dominio. Estoy en un estado de estancación porque no se como
> > hacerlo.
> >
> > He buscado información sobre auditorias de inicio de sesión de cuenta
pero
> > resulta que si se bloquea el equipo tambien lo considera como un nuevo
> > inicio. Resumiendo, lo que quiero hacer es que el sistema me indique
> cuando
> > un equipo del dominio esta encendido y cuando apagado.
> >
> >
> > Un saludo y muchas gracias de antemano.
> >
> >
>
>


Respuesta Responder a este mensaje
#4 Carlos Marcos
25/02/2004 - 17:05 | Informe spam
Hola Fernando.

No se muy bien cual de los dos es el que funciona. He probado a auditar
Inicio de sesión de cuenta e inicio de sesión. Lo que no se es cual es id de
evento correcto que me indica cuando un usuario se loga en el directorio
activo. El resto de la información no me importa. Solamente necesito saber
cuando una persona enciende su equipo y entra en el directorio activo.

Muchas gracias y un saludo


"Fernando Rubio [MS]" escribió en el mensaje
news:%23Y3h5f7%
Hola Carlos

Ahora de memoria no seguro, pero no era inicio de sesión de cuenta?
Un saludo
Fernando Rubio

<este mensaje se proporciona como esta y no ofrece garantias de ninguna
clase>


"Carlos Marcos" escribió en el mensaje
news:eQDO9X7%
> Si mal no he entendido he de buscar los id de suceso 528 que son los de
> inicio de sesión. El problema es que tengo 2 controladores de dominio y


he
> puesto la política de seguridad en la directiva de seguridad de
controlador
> de dominio de ambos pero no me registra ningún evento con el id 528.
>
> qué puede estar mal? Si te sirve de ayuda estoy auditando los inicios de
> sesión de cuenta.
>
> Muchas gracias por todo.
>
>
> "Fernando Rubio [MS]" escribió en el
mensaje
> news:%23grtOU6%
> > hola Carlos
> > Lo que estas buscando es la auditoria de inicios de sesión tal y como
has
> > intentado.Si bien es cierto que tambien dejara un evento al


desbloquear
la
> > máquina (y en otras ocasiones) verás que los ID de dichos eventos no


son
> los
> > mismos.
> > Te dejo aqui una descripcción de todos los eventos y sus


descripcciones.
> > Un saludo
> > Fernando Rubio
> > 174073 Auditing User Authentication
> > http://support.microsoft.com/?id4073
> > 299475 Windows 2000 Security Event Descriptions (Part 1 of 2)
> > http://support.microsoft.com/?id)9475
> > 301677 Windows 2000 Security Event Descriptions (Part 2 of 2)
> > http://support.microsoft.com/?id01677
> >
> > <este mensaje se proporciona como esta y no ofrece garantias de


ninguna
> > clase>
> >
> > "Carlos Marcos" escribió en el mensaje
> > news:%23ZAju35%
> > > Buenos días!
> > >
> > > Tengo un problema,
> > >
> > > Necesito realizar una auditoria de los inicios de sesión tanto de


los
> > > equipos que se conectan a un dominio como de los usuarios.
> > >
> > > Me bastaría con saber como puedo hacer para saber cuando se ha
conectado
> > un
> > > equipo al dominio. Estoy en un estado de estancación porque no se


como
> > > hacerlo.
> > >
> > > He buscado información sobre auditorias de inicio de sesión de


cuenta
> pero
> > > resulta que si se bloquea el equipo tambien lo considera como un


nuevo
> > > inicio. Resumiendo, lo que quiero hacer es que el sistema me indique
> > cuando
> > > un equipo del dominio esta encendido y cuando apagado.
> > >
> > >
> > > Un saludo y muchas gracias de antemano.
> > >
> > >
> >
> >
>
>


Respuesta Responder a este mensaje
#5 Fernando Rubio [MS]
25/02/2004 - 17:14 | Informe spam
Hola carlos
Pues si es el 528 (entre otros)
174073 Auditing User Authentication
http://support.microsoft.com/?id4073
Deja algún otro evento?
Estas seguro de que se esta aplicando correctamente la política? prueba con
un gpresult /v a ver si te dice si se esta aplicando.
Ten en cuenta que la politica a nivel de maquina no see va a aplicar hasta
que reinices la misma o hasta que ejecutes desde una ventana de comandos:

secedit /refreshpolicy machine_policy /enforce

Un saludo

Fernando

<este mensaje se proporciona como esta y no ofrece garantias de ninguna
clase>




"Carlos Marcos" escribió en el mensaje
news:u7whok7%
Hola Fernando.

No se muy bien cual de los dos es el que funciona. He probado a auditar
Inicio de sesión de cuenta e inicio de sesión. Lo que no se es cual es id


de
evento correcto que me indica cuando un usuario se loga en el directorio
activo. El resto de la información no me importa. Solamente necesito saber
cuando una persona enciende su equipo y entra en el directorio activo.

Muchas gracias y un saludo


"Fernando Rubio [MS]" escribió en el


mensaje
news:%23Y3h5f7%
> Hola Carlos
>
> Ahora de memoria no seguro, pero no era inicio de sesión de cuenta?
> Un saludo
> Fernando Rubio
>
> <este mensaje se proporciona como esta y no ofrece garantias de ninguna
> clase>
>
>
> "Carlos Marcos" escribió en el mensaje
> news:eQDO9X7%
> > Si mal no he entendido he de buscar los id de suceso 528 que son los


de
> > inicio de sesión. El problema es que tengo 2 controladores de dominio


y
he
> > puesto la política de seguridad en la directiva de seguridad de
> controlador
> > de dominio de ambos pero no me registra ningún evento con el id 528.
> >
> > qué puede estar mal? Si te sirve de ayuda estoy auditando los inicios


de
> > sesión de cuenta.
> >
> > Muchas gracias por todo.
> >
> >
> > "Fernando Rubio [MS]" escribió en el
> mensaje
> > news:%23grtOU6%
> > > hola Carlos
> > > Lo que estas buscando es la auditoria de inicios de sesión tal y


como
> has
> > > intentado.Si bien es cierto que tambien dejara un evento al
desbloquear
> la
> > > máquina (y en otras ocasiones) verás que los ID de dichos eventos no
son
> > los
> > > mismos.
> > > Te dejo aqui una descripcción de todos los eventos y sus
descripcciones.
> > > Un saludo
> > > Fernando Rubio
> > > 174073 Auditing User Authentication
> > > http://support.microsoft.com/?id4073
> > > 299475 Windows 2000 Security Event Descriptions (Part 1 of 2)
> > > http://support.microsoft.com/?id)9475
> > > 301677 Windows 2000 Security Event Descriptions (Part 2 of 2)
> > > http://support.microsoft.com/?id01677
> > >
> > > <este mensaje se proporciona como esta y no ofrece garantias de
ninguna
> > > clase>
> > >
> > > "Carlos Marcos" escribió en el mensaje
> > > news:%23ZAju35%
> > > > Buenos días!
> > > >
> > > > Tengo un problema,
> > > >
> > > > Necesito realizar una auditoria de los inicios de sesión tanto de
los
> > > > equipos que se conectan a un dominio como de los usuarios.
> > > >
> > > > Me bastaría con saber como puedo hacer para saber cuando se ha
> conectado
> > > un
> > > > equipo al dominio. Estoy en un estado de estancación porque no se
como
> > > > hacerlo.
> > > >
> > > > He buscado información sobre auditorias de inicio de sesión de
cuenta
> > pero
> > > > resulta que si se bloquea el equipo tambien lo considera como un
nuevo
> > > > inicio. Resumiendo, lo que quiero hacer es que el sistema me


indique
> > > cuando
> > > > un equipo del dominio esta encendido y cuando apagado.
> > > >
> > > >
> > > > Un saludo y muchas gracias de antemano.
> > > >
> > > >
> > >
> > >
> >
> >
>
>


Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida