Cómo monitorear los inicios de sesión de usuario en un dominio
Auditoría Nativa
- Ejecute gpmc.msc → Cree una nueva GPO → Edítela: Vaya a "Configuración del equipo" → Políticas → Configuración de Windows → Configuración de seguridad → Configuración avanzada de políticas de auditoría → Políticas de auditoría → Inicio/Cierre de sesión:
- Auditoría de inicio de sesión → Definir → Éxitos y fallos
- Vaya al registro de eventos → Definir:
- Tamaño máximo del registro de seguridad a 4gb
- Método de retención para el registro de seguridad en "Sobrescribir eventos según sea necesario".
- Vincule la nueva GPO a la OU con Cuentas de Computadora: Vaya a "Administración de Políticas de Grupo" → haga clic derecho en la OU definida → elija Vincular una GPO Existente → elija la GPO que creó.
- Fuerce la actualización de la política de grupo: En "Group Policy Management" haga clic derecho en la OU definida → haga clic en "Group Policy Update".
- Abra el Visor de eventos y busque en el registro de Seguridad el id de evento 4648 (Audit Logon).
Netwrix Auditor for Active Directory
- Ejecute Netwrix Auditor → Vaya a "Informes" → Despliegue la sección "Active Directory" → Acceda a "Actividad de inicio de sesión" → Seleccione "Inicios de sesión exitosos" o "Inicios de sesión fallidos" → Haga clic en "Ver".
Si desea recibir este informe por correo electrónico de manera regular, simplemente elija la opción "Suscribirse" y defina el horario y los destinatarios.
Compartir en