Cómo detectar quién modificó los permisos de una Unidad Organizativa
Auditoría Nativa
- Ejecute gpedit.msc → Cree una nueva GPO → Edítela: Vaya a "Configuración del equipo" → Políticas → Configuración de Windows → Configuración de seguridad → Políticas locales → Política de auditoría:
- Audite el acceso al servicio de directorio → Defina → Éxitos y fallos.
- Vaya al registro de eventos → Defina:
- Tamaño máximo del registro de seguridad a 4gb
- Método de retención para el registro de seguridad en "Sobrescribir eventos según sea necesario".
- Vincule la nueva GPO a la OU: Vaya a "Group Policy Management" → Haga clic derecho en la OU definida → Elija "Link an Existing GPO" → Escoja la GPO que ha creado.
- Fuerce la actualización de la política de grupo: En "Group Policy Management" haga clic derecho en la OU definida → Haga clic en "Group Policy Update".
- Abra ADSI Edit → Conéctese al contexto de nomenclatura predeterminado → Haga clic derecho en el objeto domainDNS con el nombre de su dominio → Propiedades → Seguridad → Avanzado → Auditoría → Agregar Principal "Todos" → Tipo "Éxito" → Se aplica a "Este objeto y objetos descendientes" → Permisos → Seleccione todas las casillas excepto las siguientes y haga clic en "Aceptar":
- Control total
- Contenido de la Lista
- Lea todas las propiedades
- Permisos de lectura.
- Abra el Visor de eventos → Busque en el registro de seguridad el ID de evento 5136 (se modificó un objeto del servicio de directorio).
Después de eso, podrá ver quién ha modificado permisos en qué OU con una lista de descriptores de seguridad.
Netwrix Auditor for Active Directory
- Ejecute Netwrix Auditor → Haga clic en "Informes" → Vaya a Active Directory → Cambios en Active Directory → Seleccione "Cambios en la Unidad Organizativa" → Haga clic en "Ver".
- Para guardar un informe, haga clic en "Exportar" → PDF → Guardar como → Elija una ubicación para guardarlo.
Compartir en