La editamos y configuramos:
Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Directivas locales > Directiva de auditoríaHabilitamos "Auditar la administración de cuentas" en intentos "Correcto" y "Error".
 |
| Figura 1: Habilitar la auditoría de administración de cuentas en la plantilla "Default Domain Controllers Policy". |
Si también queremos que se realice auditoría de la administración de cuentas locales en cualquier equipo unido al dominio, que no sean cuentas Active Directory. Debemos aplicar esta política a nivel de dominio dentro de la plantilla "Default Domain Policy".
Los ID de eventos que nos interesan para este caso son sobre la creación de nuevas cuentas de usuarios de Active Directory.
- ID de evento 4720: Se creó una cuenta de usuario.
- ID de evento 4722: Se habilitó una cuenta de usuario.
- ID de evento 4724: Se intentó restablecer la contraseña de una cuenta.
- ID de evento 4738: Se cambió una cuenta de usuario.
En el visor de eventos (eventvwr.msc) de un controlador de dominio, registros de Windows > Seguridad.
Creamos un filtro por los ID que nos interesen, separado por comas si queremos buscar más de un número de ID distinto.
Creamos un filtro por los ID que nos interesen, separado por comas si queremos buscar más de un número de ID distinto.
En la siguiente captura se puede ver un ejemplo de un ID 4722, como se habilitó una nueva cuenta en Active Directory, más arriba tendríamos el ID 4720 donde se creó dicha cuenta.
 |
| Figura 2: Filtrar por ID de eventos para encontrar la creación de nuevas cuentas de usuario de Active Directory. |
Saludos!
Hace tiempo que seguí tus instrucciones, sin embargo no me aparece ningun evento reflejado en el event viewer... qué podré estar haciendo mal?
ResponderEliminarGracias por compartir