Auditorias y eventos

15/11/2006 - 11:34 por David | Informe spam
SAludos a todos

Estuve probando auditorias, hay un hilo abierto anteriormente con javier al
respecto, pero hace bastante de ello por eso abro uno nuevo.

Activé para probar auditorias en mi DC , puse auditar objetos entre otras
cosas, y audité una carpeta con un par de usuarios, uno de ellos con pleno
acceso y el otro sin acceso, auité errores y correctos.

En teoria en el visor de sucesos del DC deberian aparecer estos accesos pero
solo aparecen inicios de sesión. En cambio a partir de ese momento, empezaron
a llamarme los usuarios , que no podian acceder a sus PC's porque el regsitro
de eventos de seguridad estaba lleno.
Ciertamente se llenan con entradas de diferentes procesos ("normales") que
corren los clientes, cuando antes no lo hacia, la única forma de solucionarlo
por el momento es que se sobreescriban cuando sea necesario.

Con lo cual , no obtengo las auditorias que necesito , en cambio se llenan
los visores de seguridad de los clientes. A alguien le ha pasado algo
similar? , como lo habeis solucionado?

Muchas Gracias

David

Preguntas similare

Leer las respuestas

#1 Fernando Reyes [MS MVP]
15/11/2006 - 11:37 | Informe spam
¿Dónde activaste las auditorías, en Default Domain Policy? Debería ser en
Default Domain Controllers Policy.

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://www.bloglines.com/blog/urpiano
freyes.cañña.mvps.org
(Tómate dos cañas si quieres escribirme)



Y fue David () quien en el mensaje
, planeando sobre su
teclado, hizo un picado y tecleó:

SAludos a todos

Estuve probando auditorias, hay un hilo abierto anteriormente con
javier al respecto, pero hace bastante de ello por eso abro uno nuevo.

Activé para probar auditorias en mi DC , puse auditar objetos entre
otras cosas, y audité una carpeta con un par de usuarios, uno de
ellos con pleno acceso y el otro sin acceso, auité errores y
correctos.

En teoria en el visor de sucesos del DC deberian aparecer estos
accesos pero solo aparecen inicios de sesión. En cambio a partir de
ese momento, empezaron a llamarme los usuarios , que no podian
acceder a sus PC's porque el regsitro de eventos de seguridad estaba
lleno.
Ciertamente se llenan con entradas de diferentes procesos
("normales") que corren los clientes, cuando antes no lo hacia, la
única forma de solucionarlo por el momento es que se sobreescriban
cuando sea necesario.

Con lo cual , no obtengo las auditorias que necesito , en cambio se
llenan los visores de seguridad de los clientes. A alguien le ha
pasado algo similar? , como lo habeis solucionado?

Muchas Gracias

David
Respuesta Responder a este mensaje
#2 David
15/11/2006 - 11:55 | Informe spam
arrrgh, no no, lo he hecho en una Unidad organizativa nueva que he creado
para hacer las pruebas y he generado una directiva nueva.

Gracias Fernando , voy a probar, lo de que se llenen los visores de sucesos
de los clientes tiene algo que ver???

Muchas Gracias

David

"Fernando Reyes [MS MVP]" wrote:

¿Dónde activaste las auditorías, en Default Domain Policy? Debería ser en
Default Domain Controllers Policy.

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://www.bloglines.com/blog/urpiano
freyes.cañña.mvps.org
(Tómate dos cañas si quieres escribirme)



Y fue David () quien en el mensaje
, planeando sobre su
teclado, hizo un picado y tecleó:

> SAludos a todos
>
> Estuve probando auditorias, hay un hilo abierto anteriormente con
> javier al respecto, pero hace bastante de ello por eso abro uno nuevo.
>
> Activé para probar auditorias en mi DC , puse auditar objetos entre
> otras cosas, y audité una carpeta con un par de usuarios, uno de
> ellos con pleno acceso y el otro sin acceso, auité errores y
> correctos.
>
> En teoria en el visor de sucesos del DC deberian aparecer estos
> accesos pero solo aparecen inicios de sesión. En cambio a partir de
> ese momento, empezaron a llamarme los usuarios , que no podian
> acceder a sus PC's porque el regsitro de eventos de seguridad estaba
> lleno.
> Ciertamente se llenan con entradas de diferentes procesos
> ("normales") que corren los clientes, cuando antes no lo hacia, la
> única forma de solucionarlo por el momento es que se sobreescriban
> cuando sea necesario.
>
> Con lo cual , no obtengo las auditorias que necesito , en cambio se
> llenan los visores de seguridad de los clientes. A alguien le ha
> pasado algo similar? , como lo habeis solucionado?
>
> Muchas Gracias
>
> David



Respuesta Responder a este mensaje
#3 Fernando Reyes [MS MVP]
15/11/2006 - 12:26 | Informe spam
Claro, si las directivas de auditoría las estableces en una GPO vinculada a
una OU, afectarán a las cuentas de equipo que estén en esa OU, provocando
que se hagan entradas en el visor de sucesos de seguridad. Si lo que quieres
es que se auditen los accesos al controlador de dominio, debes establecer
las auditorías en la Defult Domain Controllers Policy o en una GPO que
vincules a la OU Domain Controllers. Un par de tips:

Auditar el acceso a objetos
http://freyes.svetlian.com/tips/aud...bjetos.htm

Auditar inicio de sesión
http://freyes.svetlian.com/tips/aud...sesion.htm

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://www.bloglines.com/blog/urpiano

(Comete dos mandarinas si quieres escribirme)



Y fue David () quien en el mensaje
, planeando sobre su
teclado, hizo un picado y tecleó:

arrrgh, no no, lo he hecho en una Unidad organizativa nueva que he
creado para hacer las pruebas y he generado una directiva nueva.

Gracias Fernando , voy a probar, lo de que se llenen los visores de
sucesos de los clientes tiene algo que ver???

Muchas Gracias

David

"Fernando Reyes [MS MVP]" wrote:

¿Dónde activaste las auditorías, en Default Domain Policy? Debería
ser en Default Domain Controllers Policy.

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://www.bloglines.com/blog/urpiano
freyes.cañña.mvps.org
(Tómate dos cañas si quieres escribirme)



Y fue David () quien en el mensaje
, planeando sobre
su teclado, hizo un picado y tecleó:

SAludos a todos

Estuve probando auditorias, hay un hilo abierto anteriormente con
javier al respecto, pero hace bastante de ello por eso abro uno
nuevo.

Activé para probar auditorias en mi DC , puse auditar objetos entre
otras cosas, y audité una carpeta con un par de usuarios, uno de
ellos con pleno acceso y el otro sin acceso, auité errores y
correctos.

En teoria en el visor de sucesos del DC deberian aparecer estos
accesos pero solo aparecen inicios de sesión. En cambio a partir de
ese momento, empezaron a llamarme los usuarios , que no podian
acceder a sus PC's porque el regsitro de eventos de seguridad estaba
lleno.
Ciertamente se llenan con entradas de diferentes procesos
("normales") que corren los clientes, cuando antes no lo hacia, la
única forma de solucionarlo por el momento es que se sobreescriban
cuando sea necesario.

Con lo cual , no obtengo las auditorias que necesito , en cambio se
llenan los visores de seguridad de los clientes. A alguien le ha
pasado algo similar? , como lo habeis solucionado?

Muchas Gracias

David
Respuesta Responder a este mensaje
#4 David
15/11/2006 - 12:38 | Informe spam
Muchas Gracias Fernando

voy a probar

David

"Fernando Reyes [MS MVP]" wrote:

Claro, si las directivas de auditoría las estableces en una GPO vinculada a
una OU, afectarán a las cuentas de equipo que estén en esa OU, provocando
que se hagan entradas en el visor de sucesos de seguridad. Si lo que quieres
es que se auditen los accesos al controlador de dominio, debes establecer
las auditorías en la Defult Domain Controllers Policy o en una GPO que
vincules a la OU Domain Controllers. Un par de tips:

Auditar el acceso a objetos
http://freyes.svetlian.com/tips/aud...bjetos.htm

Auditar inicio de sesión
http://freyes.svetlian.com/tips/aud...sesion.htm

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://www.bloglines.com/blog/urpiano

(Comete dos mandarinas si quieres escribirme)



Y fue David () quien en el mensaje
, planeando sobre su
teclado, hizo un picado y tecleó:

> arrrgh, no no, lo he hecho en una Unidad organizativa nueva que he
> creado para hacer las pruebas y he generado una directiva nueva.
>
> Gracias Fernando , voy a probar, lo de que se llenen los visores de
> sucesos de los clientes tiene algo que ver???
>
> Muchas Gracias
>
> David
>
> "Fernando Reyes [MS MVP]" wrote:
>
>> ¿Dónde activaste las auditorías, en Default Domain Policy? Debería
>> ser en Default Domain Controllers Policy.
>>
>> Un saludo
>> Fernando Reyes [MS MVP]
>> MCSE Windows 2000 / 2003
>> MCSA Windows Server 2003
>> http://freyes.svetlian.com
>> http://www.bloglines.com/blog/urpiano
>> freyes.cañña.mvps.org
>> (Tómate dos cañas si quieres escribirme)
>>
>>
>>
>> Y fue David () quien en el mensaje
>> , planeando sobre
>> su teclado, hizo un picado y tecleó:
>>
>>> SAludos a todos
>>>
>>> Estuve probando auditorias, hay un hilo abierto anteriormente con
>>> javier al respecto, pero hace bastante de ello por eso abro uno
>>> nuevo.
>>>
>>> Activé para probar auditorias en mi DC , puse auditar objetos entre
>>> otras cosas, y audité una carpeta con un par de usuarios, uno de
>>> ellos con pleno acceso y el otro sin acceso, auité errores y
>>> correctos.
>>>
>>> En teoria en el visor de sucesos del DC deberian aparecer estos
>>> accesos pero solo aparecen inicios de sesión. En cambio a partir de
>>> ese momento, empezaron a llamarme los usuarios , que no podian
>>> acceder a sus PC's porque el regsitro de eventos de seguridad estaba
>>> lleno.
>>> Ciertamente se llenan con entradas de diferentes procesos
>>> ("normales") que corren los clientes, cuando antes no lo hacia, la
>>> única forma de solucionarlo por el momento es que se sobreescriban
>>> cuando sea necesario.
>>>
>>> Con lo cual , no obtengo las auditorias que necesito , en cambio se
>>> llenan los visores de seguridad de los clientes. A alguien le ha
>>> pasado algo similar? , como lo habeis solucionado?
>>>
>>> Muchas Gracias
>>>
>>> David



Respuesta Responder a este mensaje
#5 David
15/11/2006 - 12:57 | Informe spam
Fernando, he mirado las directivas y estan aplicadas al Default domain Policy
y no en el que cree de pruebas.

Con eso en teoria deberia ver las auditorias sobre esa carpeta, y no
deberian llenarse los visrores de sucesos de los clientes de esta forma no?

David

"Fernando Reyes [MS MVP]" wrote:

Claro, si las directivas de auditoría las estableces en una GPO vinculada a
una OU, afectarán a las cuentas de equipo que estén en esa OU, provocando
que se hagan entradas en el visor de sucesos de seguridad. Si lo que quieres
es que se auditen los accesos al controlador de dominio, debes establecer
las auditorías en la Defult Domain Controllers Policy o en una GPO que
vincules a la OU Domain Controllers. Un par de tips:

Auditar el acceso a objetos
http://freyes.svetlian.com/tips/aud...bjetos.htm

Auditar inicio de sesión
http://freyes.svetlian.com/tips/aud...sesion.htm

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://www.bloglines.com/blog/urpiano

(Comete dos mandarinas si quieres escribirme)



Y fue David () quien en el mensaje
, planeando sobre su
teclado, hizo un picado y tecleó:

> arrrgh, no no, lo he hecho en una Unidad organizativa nueva que he
> creado para hacer las pruebas y he generado una directiva nueva.
>
> Gracias Fernando , voy a probar, lo de que se llenen los visores de
> sucesos de los clientes tiene algo que ver???
>
> Muchas Gracias
>
> David
>
> "Fernando Reyes [MS MVP]" wrote:
>
>> ¿Dónde activaste las auditorías, en Default Domain Policy? Debería
>> ser en Default Domain Controllers Policy.
>>
>> Un saludo
>> Fernando Reyes [MS MVP]
>> MCSE Windows 2000 / 2003
>> MCSA Windows Server 2003
>> http://freyes.svetlian.com
>> http://www.bloglines.com/blog/urpiano
>> freyes.cañña.mvps.org
>> (Tómate dos cañas si quieres escribirme)
>>
>>
>>
>> Y fue David () quien en el mensaje
>> , planeando sobre
>> su teclado, hizo un picado y tecleó:
>>
>>> SAludos a todos
>>>
>>> Estuve probando auditorias, hay un hilo abierto anteriormente con
>>> javier al respecto, pero hace bastante de ello por eso abro uno
>>> nuevo.
>>>
>>> Activé para probar auditorias en mi DC , puse auditar objetos entre
>>> otras cosas, y audité una carpeta con un par de usuarios, uno de
>>> ellos con pleno acceso y el otro sin acceso, auité errores y
>>> correctos.
>>>
>>> En teoria en el visor de sucesos del DC deberian aparecer estos
>>> accesos pero solo aparecen inicios de sesión. En cambio a partir de
>>> ese momento, empezaron a llamarme los usuarios , que no podian
>>> acceder a sus PC's porque el regsitro de eventos de seguridad estaba
>>> lleno.
>>> Ciertamente se llenan con entradas de diferentes procesos
>>> ("normales") que corren los clientes, cuando antes no lo hacia, la
>>> única forma de solucionarlo por el momento es que se sobreescriban
>>> cuando sea necesario.
>>>
>>> Con lo cual , no obtengo las auditorias que necesito , en cambio se
>>> llenan los visores de seguridad de los clientes. A alguien le ha
>>> pasado algo similar? , como lo habeis solucionado?
>>>
>>> Muchas Gracias
>>>
>>> David



Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida