Compartir a través de

Auditar objetos de Active Directory en Windows Server 2003

En este artículo paso a paso se describe cómo usar la auditoría de Windows Server 2003 para realizar un seguimiento de las actividades del usuario y los eventos de todo el sistema en Active Directory.

Se aplica a: Windows Server 2003
Número de KB original: 814595

Resumen

Puede usar la auditoría de Windows Server 2003 para realizar un seguimiento de las actividades de usuario y las actividades de Windows Server 2003 con nombre, en un equipo. Al usar la auditoría, puede especificar qué eventos se escriben en el registro de seguridad. Por ejemplo, el registro de seguridad puede mantener un registro de intentos de inicio de sesión válidos e no válidos y eventos relacionados con la creación, apertura o eliminación de archivos u otros objetos. Una entrada de auditoría en el registro de seguridad contiene la siguiente información:

  • Acción que se realiza.
  • Usuario que realizó la acción.
  • El éxito o error del evento y la hora en que se produjo el evento.

Una configuración de directiva de auditoría define las categorías de eventos que Windows Server 2003 registra en el registro de seguridad de cada equipo. El registro de seguridad permite realizar un seguimiento de los eventos que especifique.

Al auditar eventos de Active Directory, Windows Server 2003 escribe un evento en el registro de seguridad en el controlador de dominio. Por ejemplo, un usuario intenta iniciar sesión en el dominio mediante una cuenta de usuario de dominio. Si el intento de inicio de sesión no se realiza correctamente, el evento se registra en el controlador de dominio, no en el equipo donde se realizó el intento de inicio de sesión. Este comportamiento se produce porque es el controlador de dominio que intentó autenticar el intento de inicio de sesión, pero no pudo hacerlo.

Use Visor de eventos para ver los eventos que registra Windows Server 2003 en el registro de seguridad. También puede archivar archivos de registro para realizar un seguimiento de las tendencias a lo largo del tiempo. Por ejemplo, quiere determinar el uso de impresoras o archivos, o comprobar el uso de recursos no autorizados.

Para habilitar la auditoría de objetos de Active Directory:

  • Configure una configuración de directiva de auditoría para un controlador de dominio. Al configurar una configuración de directiva de auditoría, puede auditar objetos, pero no puede especificar el objeto que desea auditar.
  • Configure la auditoría de objetos específicos de Active Directory. Después de especificar los eventos que se van a auditar para archivos, carpetas, impresoras y objetos de Active Directory, Windows Server 2003 realiza un seguimiento y registra estos eventos.

Configurar una configuración de directiva de auditoría para un controlador de dominio

De forma predeterminada, la auditoría está desactivada. En el caso de los controladores de dominio, se configura una configuración de directiva de auditoría para todos los controladores de dominio del dominio. Para auditar eventos que se producen en controladores de dominio, configure una configuración de directiva de auditoría que se aplique a todos los controladores de dominio de un objeto de directiva de grupo (GPO) no local para el dominio. Puede acceder a esta configuración de directiva a través de la unidad organizativa Controladores de dominio. Para auditar el acceso de usuario a objetos de Active Directory, configure la categoría de eventos Audit Directory Service Access en la configuración de directiva de auditoría.

Nota:

  • Debe conceder el derecho de usuario Administrar registro de auditoría y seguridad al equipo en el que desea configurar una configuración de directiva de auditoría o revisar un registro de auditoría. De forma predeterminada, Windows Server 2003 concede estos derechos al grupo Administradores.
  • Los archivos y carpetas que desea auditar deben estar en volúmenes del sistema de archivos NT (NTFS) de Microsoft Windows.

Para configurar una configuración de directiva de auditoría para un controlador de dominio:

  1. Seleccione Iniciar>programas>Herramientas administrativas y, a continuación, seleccione Usuarios y equipos de Active Directory.

  2. En el menú Ver , seleccione Características avanzadas.

  3. Haga clic con el botón derecho en Controladores de dominio y, a continuación, seleccione Propiedades.

  4. Seleccione la pestaña Directiva de grupo, seleccione Directiva de controlador de dominio predeterminada y, a continuación, seleccione Editar.

  5. Seleccione Configuración del equipo, haga doble clic en Configuración de Windows, haga doble clic en Configuración de seguridad, haga doble clic en Directivas localesy, a continuación, haga doble clic en Directiva de auditoría.

  6. En el panel derecho, haga clic con el botón derecho en Auditar acceso a servicios de directorio y, a continuación, seleccione Propiedades.

  7. Seleccione Definir esta configuración de directiva y, a continuación, active una o ambas casillas de verificación:

    • Correcto: active esta casilla para auditar los intentos correctos de la categoría de eventos.
    • Error: active esta casilla para auditar los intentos erróneos de la categoría de eventos.

  8. Haga clic con el botón derecho en cualquier otra categoría de eventos que quiera auditar y, a continuación, seleccione Propiedades.

  9. Seleccione Aceptar.

  10. Los cambios que realice en la configuración de directiva de auditoría del equipo surten efecto solo cuando la configuración de directiva se propaga o se aplica al equipo. Complete cualquiera de los pasos siguientes para iniciar la propagación de directivas:

    • Escriba gpupdate /Target:computer en el símbolo del sistema y presione ENTRAR.
    • Espere a la propagación automática de directivas que se produce a intervalos regulares que puede configurar. De forma predeterminada, la propagación de directivas se produce cada cinco minutos.

  11. Abra el registro de seguridad para ver los eventos registrados.

    Nota:

    Si es un dominio o administrador de empresa, puede habilitar la auditoría de seguridad para estaciones de trabajo, servidores miembros y controladores de dominio de forma remota.

Configurar la auditoría de objetos específicos de Active Directory

Después de configurar una configuración de directiva de auditoría, puede configurar la auditoría de objetos específicos, como usuarios, equipos, unidades organizativas o grupos, especificando los tipos de acceso y los usuarios cuyo acceso desea auditar. Para configurar la auditoría de objetos específicos de Active Directory:

  1. Seleccione Iniciar>programas>Herramientas administrativas y, a continuación, seleccione Usuarios y equipos de Active Directory.

  2. Asegúrese de seleccionar Características avanzadas en el menú Ver .

  3. Haga clic con el botón derecho en el objeto de Active Directory que desea auditar y, a continuación, seleccione Propiedades.

  4. Seleccione la pestaña Seguridad y luego Avanzada.

  5. Seleccione la pestaña Auditoría y, a continuación, seleccione Agregar.

  6. Realice una de las siguientes acciones:

    • Escriba el nombre del usuario o del grupo cuyo acceso desea auditar en el cuadro Escriba el nombre del objeto que desea seleccionar y, a continuación, seleccione Aceptar.
    • En la lista de nombres, haga doble clic en el usuario o en el grupo cuyo acceso desea auditar.

  7. Active la casilla Correcto o Error para las acciones que desea auditar y, a continuación, seleccione Aceptar.

  8. Seleccione Aceptar y, después, Aceptar.

Solución de problemas

El tamaño del registro de seguridad es limitado. Debido a esta limitación, Microsoft recomienda seleccionar cuidadosamente los archivos y las carpetas que desea auditar. Tenga en cuenta también la cantidad de espacio en disco que desea dedicar al registro de seguridad. El tamaño máximo se define en Visor de eventos.