Como monitorar logons de usuários em um domínio
Auditoria Nativa
- Execute gpmc.msc → Crie uma nova GPO → Edite-a: Vá para "Configuração do Computador" → Políticas → Configurações do Windows → Configurações de Segurança → Configuração de Política de Auditoria Avançada → Políticas de Auditoria → Logon/Logoff:
- Auditoria de Logon → Definir → Sucessos e Falhas
- Vá para Event Log → Definir:
- Tamanho máximo do log de segurança para 4gb
- Método de retenção para o log de segurança para "Sobrescrever eventos conforme necessário".
- Vincule a nova GPO à OU com Contas de Computador: Acesse "Gerenciamento de Política de Grupo" → clique com o botão direito na OU definida → escolha Vincular uma GPO Existente → escolha a GPO que você criou.
- Force a atualização da política de grupo: Em "Group Policy Management" clique com o botão direito na OU definida → clique em "Group Policy Update".
- Abra o Visualizador de Eventos e procure no log de Segurança pelo id de evento 4648 (Audit Logon).
Netwrix Auditor for Active Directory
- Execute o Netwrix Auditor → Acesse "Relatórios" → Expanda a seção "Active Directory" → Vá para "Atividade de Logon" → Selecione "Logons bem-sucedidos" ou "Logons malsucedidos" → Clique em "Visualizar".
Se você deseja receber este relatório por e-mail regularmente, basta escolher a opção "Inscrever-se" e definir o cronograma e os destinatários.
Compartilhar em