Hacer Una Auditoría Al Directorio Activo en Windows Server 2016

Hacer una auditoría al DirectorioActivo en Windows Server 2016 Controla todo lo que ocurre en los ordenadores que administras, a través de una auditoría al Active Directory en tu Windows Server 2016. Cuando estamos involucrados en el área de sistemas o de IT en general suele suceder que en muchas oportunidades debemos generar reportes de seguimiento y comportamiento de los usuarios a nivel de sistemas ya que, por políticas de la organización, en muchas oportunidades se restringe a los usuarios (http://www.solvetic.com/tutoriales/article/3083- como-crear-politica-de-contrasena-granular-windows-server/) el acceso a algunas unidades, la instalación de software no autorizado (http://www.solvetic.com/tutoriales/article/3070-como- crear-reglas-firewall-windows-server-2016/) por la empresa, crear ciertos elementos dentro de su equipo, etc, y esto no es con el fin de ser verdugos con el usuario sino con el fin de mantener un óptimo rendimiento (http://www.solvetic.com/tutoriales/article/3078-como- optimizar-gratis-windows-10-8-7-con-vmware/) y seguridad de toda la estructura jerárquica. Mantener niveles de auditoría al directorio activo nos da la posibilidad de llevar un control centralizado (http://www.solvetic.com/tutoriales/article/2989-como-establecer-horas-de-inicio- de-sesion-en-windows-server/) sobre el comportamiento de cada unidad organizativa cada equipo.com/tutoriales/article/2416-uso-de-gpos-group-policy-object-en- windows-server/) y así prevenir fallosen el futuro e implementar mejoras en el presente.solvetic. alguien borra o resetea una contraseña (http://www. Cómo realizar auditoría a Active Directory en Windows Server Paso 1 Para poder acceder a un control centralizado de auditoría debemos habilitar una política específica en el servidor y para ello abriremos el editor de directivas de grupo usando alguno de los siguientes métodos:  Desde el comando Ejecutar (Combinación de teclas + R) e ingresar el término gpedit.(http://www. cada política de grupo (http://www.com/tutoriales/article/2968-como-crear-grupos-en-directorio-activo-usando- powershell/).solvetic.com/tutoriales/article/3002-restringir-numero-de-inicios-de- sesion-en-windows-server-2016/) es muy difícil que un usuario común pueda ejecutar cierta tarea. Paso 2 . cada usuario.solvetic. 1.com/tutoriales/article/3086-ver-quien-resetea- password-usuario-windows-server/) podremos saber quién ha sido. Esta auditoría que vamos a ver es realmente útil ya que si .solvetic. por ejemplo. En este tutorial veremos cómo podemos realizar una auditoría al directorio activo en Windows Server 2016. Recordemos que cuando aplicamos una política de grupo con algún tipo de restricción (http://www.msc  Desde el menú Inicio > Herramientas administrativas > Administración de directivas de grupo. pero si sabemos que a algunos usuarios se les aporta un privilegio de administradores y ellos pueden realizar tareas específicas que afectan el perfil de un usuario. Veremos que se despliega la siguiente ventana donde debemos seleccionar nuestro dominio. y dar clic derecho en la opción Default Domain Policy y seleccionar la opción Editar. AMPLIAR Paso 3 Una vez pulsemos Editar en la ventana desplegada debemos ir a la siguiente ruta:  Configuración del equipo  Directivas  Configuración de Windows  Configuración de seguridad  Directivas locales  Directiva de auditoría . no están configuradas. Para realizar la auditoría al Directorio Activo debemos habilitar las siguientes políticas: Auditar la administración de cuentas Esta política nos permite auditar todos los eventos que suceden con las cuentas de los usuarios en el directorio activo.AMPLIAR Paso 4 En la ventana desplegada podemos ver en el costado derecho diversas políticas que. . para habilitarla damos doble clic sobre ella y veremos lo siguiente. por defecto. Guardamos los cambios pulsando el botón Aplicar y posteriormenteAceptar.Allí debemos habilitar la casilla “Definir esta configuración de directiva” y seleccionaremos las casillasCorrecto y Error para que el sistema registre todos los eventos tanto satisfactorios como equivocados de algún usuario dentro del directorio activo. . Pulsamos doble clic sobre ella y activamos la casilla “Definir esta configuración de directiva” y marcamos las casillas Correcto y Error. tal como usuarios. etc. a algún objeto del directorio activo.Auditar el acceso al servicio de directorios Esta política nos permite registrar todos los eventos que registran cualquier intento de modificación. haya sido procesado o no. . equipo. Pulsamos Aplicar y luego Aceptar para guardar los cambios. . Podemos ver nuestras dos políticas configuradas. . abriremos la herramienta Usuarios y equipos de Active Directory para aplicar las políticas recién creadas.Paso 5 A continuación. para ello vamos al administrador del servidor. menú Herramientas y seleccionamos Usuarios y equipos de Active Directory Se abre la siguiente ventana. Paso 6 La política la aplicaremos a la unidad organizativa llamada Usuarios Solvetic y para ello daremos clic derecho sobre ella y seleccionamos Propiedades y en la ventana desplegada iremos a la pestaña Seguridad: . .Nota En caso que no veamos la pestaña Seguridad disponible debemos ir al menú Ver en Usuarios y equipos de Active Directory y seleccionamos la opción Características avanzadas. Paso 7 Una vez estemos en la pestaña Seguridad pulsaremos el botón Opciones avanzadas y allí iremos a la pestañaAuditoría. . Veremos la siguiente ventana donde debemos seleccionar la línea Seleccionar una entidad de seguridad.Paso 8 Allí pulsaremos el botón Agregar para definir a que usuarios hemos de aplicar la política de auditoría. Paso 9 En la ventana desplegada ingresaremos el usuario que vamos a adicionar o las iniciales de los mismos. . Paso 11 .Paso 10 Pulsamos Comprobar nombres y veremos las diferentes opciones. Podemos definir qué tipo de permisos se han de auditar activando las casillas correspondientes y una vez definidos pulsaremos Aceptar. . algo recomendable es agregar el grupo Administradoresdebido a que todos los usuarios que cuentan con privilegios para ejecutar tareas sobre el directorio activo están incluidos en este grupo y así todos ellos serán auditados. Paso 12 Una vez pulsemos Aceptar podremos ver que se ha adicionado nuestro usuario de forma correcta.Allí seleccionamos los usuarios o los grupos a asignar. Pulsamos Aplicary posteriormente Aceptar.  Accediendo desde el menú Herramientas en el Administrador del servidor y seleccionando la opción Visor de eventos. Validar el proceso de autoría en Windows Server 2016 Paso 1 Una vez definidas estas políticas vamos a abrir el visor de eventos usando alguna de las siguientes formas:  Dando clic derecho en el menú Inicio y en la lista desplegada elegimos Visor de eventos.AMPLIAR 2. Paso 2 . . AMPLIAR Paso 3 Allí podremos ver todos los eventos que suceden cuando alguno de los usuarios del grupo Administradores realiza cualquier cambio en el directorio activo.En la ventana desplegada debemos ir a la opción Registro de Windows > Seguridad. usuario que efectuó el cambio y usuario afectado. hora. Podemos ver que el evento ha quedado registrado indicándonos fecha. De la misma manera podemos filtrar los eventos por ID de suceso para facilitar la búsqueda. En este ejemplo hemos modificado la contraseña del usuario Solvetic 1. Si . Como hemos visto de esta manera podemos realizar una auditoría completa bien sea a un grupo específico a un usuario en especial y de esta manera supervisar y controlar todas las actividades que son realizadas a diario en el Directorio Activo con Windows Server 2016.Nota Recordemos que la habilitación de estas políticas va a generar mucha más información en el visor de eventos lo cual implica mucha mayor cantidad de espacio. Como ves el Directorio Activo proporciona herramientas necesarias para la gestión de los equipos y es fundamental como administradores. conocerlas y aprender a implementarlas. Las políticas de grupo son vitales para ello y por eso también hay que tenerlas en cuenta. quieres saber más sobre qué puedes hacer en el Directorio Activo deWindows Server 2016 echa un vistazo a este tutorial. http://www.com/tutoriales/article/3114-hacer-una-auditoria-al-active- directory-en-windows-server-2016/ .solvetic.