Eliminación de archivos

Tenes que habilitar primero Object Access editanto políticas locales
(GPEDIT.MSC) o mediante una GPO aplicada a alguna OU padre del objeto
computadora al que vas a auditar. Habilita Success si queres ver quien borro
y Failure si queres ver quien trato de borrar pero no pudo por permisos.

Luego, en las propiedades de la carpeta (que debe estar en un volumen NTFS
sí o sí), en la solapa seguridad, clickeando el botón Avanzadas tenes la
solapa Auditoría o Auditing en ingles. Ahí podes agregar a un usuario o
grupo de usuarios (te conviene crear un grupo ya sea local o domain local y
asignarle un global con los usuarios o directamente los usuarios que queres
auditar) y le definis que operaciones vas a auditar (por ej. delete y delete
archivos y carpetas)

Luego puedes ver esa información en el registro Seguridad del visor de
sucesos.


Saludos

Rodrigo de los Santos
rodrigo.delossantos at mug.org.ar
rodrigo at dlssolutions.net

MVP - Windows Server - Group Policy
MCP - CCA - CNA
Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)

Url: http://www.dlssolutions.net
Blog: http://nerdsupport.blogspot.com


"David Hernandez" wrote in
message news:

Buenas tardes, queria saber que debo de configurar para saber el usuario
que
borra archivos en una determinada carpeta a partir de ahora, he leido algo
de
auditoria, pero no se si es lo correcto y no se muy bien como configurar
eso
de las auditorias. En espera de vuestras respuestas muchas gracias por
adelantado.

Un saludo

Muchas gracias Rodrigo por tu respuesta, lo que no me quedo claro es tu
primer parrafo no se desde donde debo realizar esos pasos me refiero a:
"Tenes que habilitar primero Object Access editanto políticas locales
(GPEDIT.MSC) o mediante una GPO aplicada a alguna OU padre del objeto
computadora al que vas a auditar. Habilita Success si queres ver quien borro
y Failure si queres ver quien trato de borrar pero no pudo por permisos.".

Te agredecia que me guiaras en esos pasos en espera de tus noticias, gracia
por adelantado.

Un saludo


"Rodrigo de los Santos" wrote:

Tenes que habilitar primero Object Access editanto políticas locales
(GPEDIT.MSC) o mediante una GPO aplicada a alguna OU padre del objeto
computadora al que vas a auditar. Habilita Success si queres ver quien borro
y Failure si queres ver quien trato de borrar pero no pudo por permisos.

Luego, en las propiedades de la carpeta (que debe estar en un volumen NTFS
sí o sí), en la solapa seguridad, clickeando el botón Avanzadas tenes la
solapa Auditoría o Auditing en ingles. Ahí podes agregar a un usuario o
grupo de usuarios (te conviene crear un grupo ya sea local o domain local y
asignarle un global con los usuarios o directamente los usuarios que queres
auditar) y le definis que operaciones vas a auditar (por ej. delete y delete
archivos y carpetas)

Luego puedes ver esa información en el registro Seguridad del visor de
sucesos.


Saludos

Rodrigo de los Santos
rodrigo.delossantos at mug.org.ar
rodrigo at dlssolutions.net

MVP - Windows Server - Group Policy
MCP - CCA - CNA
Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)

Url: http://www.dlssolutions.net
Blog: http://nerdsupport.blogspot.com


"David Hernandez" wrote in
message news:
> Buenas tardes, queria saber que debo de configurar para saber el usuario
> que
> borra archivos en una determinada carpeta a partir de ahora, he leido algo
> de
> auditoria, pero no se si es lo correcto y no se muy bien como configurar
> eso
> de las auditorias. En espera de vuestras respuestas muchas gracias por
> adelantado.
>
> Un saludo

Primera Opción
desde el equipo en el que queres habilitar la auditoría (que no sea domain
controller) con permisos de administrador local minimo
Inicio Ejecutar > gpedit.msc
Computer Configuration\Windows Settings\Security Settings\Local
Policies\Audit Policy

Y ahi tenes Audit object Access

Segunda opción (para hacerlo desde AD)
desde una estación de trabajo con privilegios suficientes para crear y
aplicar una policy en una OU
Abres Group Policy Management Console o en su defecto DSA.MSC (Acitve
Directory Users And Computers)
Creas una nueva política (o modificas) en la OU que contiene al o a los
servidores en los que queres habilitar auditoría
(botón derecho propiedades en DSA.msc - ultima solapa - botón new y en
GPMC - botón derecho sobre la OU y create and link a new gpo here)
luego haces la misma ruta que arriba
Computer Configuration\Windows Settings\Security Settings\Local
Policies\Audit Policy

Y listo!! en el proximo policy refresh se habilitaran las auditorias que
hayas definido y a partir de ahí podras tocar los los permisos de auditoría
de NTFS

Saludos

Rodrigo de los Santos
rodrigo.delossantos at mug.org.ar
rodrigo at dlssolutions.net

MVP - Windows Server - Group Policy
MCP - CCA - CNA
Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)

Url: http://www.dlssolutions.net
Blog: http://nerdsupport.blogspot.com


"David Hernandez" wrote in
message news:

Muchas gracias Rodrigo por tu respuesta, lo que no me quedo claro es tu
primer parrafo no se desde donde debo realizar esos pasos me refiero a:
"Tenes que habilitar primero Object Access editanto políticas locales
(GPEDIT.MSC) o mediante una GPO aplicada a alguna OU padre del objeto
computadora al que vas a auditar. Habilita Success si queres ver quien
borro
y Failure si queres ver quien trato de borrar pero no pudo por permisos.".

Te agredecia que me guiaras en esos pasos en espera de tus noticias,
gracia
por adelantado.

Un saludo


"Rodrigo de los Santos" wrote:

Tenes que habilitar primero Object Access editanto políticas locales
(GPEDIT.MSC) o mediante una GPO aplicada a alguna OU padre del objeto
computadora al que vas a auditar. Habilita Success si queres ver quien
borro
y Failure si queres ver quien trato de borrar pero no pudo por permisos.

Luego, en las propiedades de la carpeta (que debe estar en un volumen
NTFS
sí o sí), en la solapa seguridad, clickeando el botón Avanzadas tenes la
solapa Auditoría o Auditing en ingles. Ahí podes agregar a un usuario o
grupo de usuarios (te conviene crear un grupo ya sea local o domain local
y
asignarle un global con los usuarios o directamente los usuarios que
queres
auditar) y le definis que operaciones vas a auditar (por ej. delete y
delete
archivos y carpetas)

Luego puedes ver esa información en el registro Seguridad del visor de
sucesos.


Saludos

Rodrigo de los Santos
rodrigo.delossantos at mug.org.ar
rodrigo at dlssolutions.net

MVP - Windows Server - Group Policy
MCP - CCA - CNA
Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)

Url: http://www.dlssolutions.net
Blog: http://nerdsupport.blogspot.com


"David Hernandez" wrote in
message news:
> Buenas tardes, queria saber que debo de configurar para saber el
> usuario
> que
> borra archivos en una determinada carpeta a partir de ahora, he leido
> algo
> de
> auditoria, pero no se si es lo correcto y no se muy bien como
> configurar
> eso
> de las auditorias. En espera de vuestras respuestas muchas gracias por
> adelantado.
>
> Un saludo