¿Como hacer auditorías "claras"?

buenas

estamos intentando auditar los movimientos de usuarios administradores y ordinarios. queremos que de los usuarios administradores se auditen sus movimienos (que cambian en ad, que borran, que modifican en carpetas...) y de los usuarios que recursos borran o modifican (si borran archivos etc...) en el dominio

he seguido este tuto de ms: http://support.microsoft.com/default.aspx/kb/814595/es?p=1 pero no me queda muy claro si se hace así o si es lo que quiero, parte que no se donde consultar los resultados porque en el event view en seguridad no me aparece nada...

saludos

goldfran, algo más lo que comenta josé.

la primera consideración tener en cuenta es ser cuidadoso sobre qué vas auditar, ya que una auditoría excesiva bajará notablemente el rendimiento del servidor, y además los logs serán difíciles de interpretar por la cantidad de eventos (aunque puedas poner filtros)

otra consideración es si quieres auditar los administradores. recuerda que si pertencen al grupo administradores entonces podrán borrar el contenido del log de seguridad.
los miembros del grupo administradores *deben ser confiables*. no hay forma de limitarlos.

y por si te sirve de ayuda te dejo dos enlaces con los artículos donde se documentan los eventos de seguridad:

vista y w2008: http://support.microsoft.com/kb/947226

w2000: http://support.microsoft.com/kb/299475

de w2003 que yo sepa no está documentado pero supongo que serán los mismos que los de w2000

 

---

guillermo delprato - mvp-mct-mcse-mcsa mcitp: enterprise/server administrator mcts: active directory/network/applications configuration --- este mensaje se proporciona "como está" sin garantías de ninguna clase. usted asume todos los riesgos. --- buenos aires, argentina

Windows Server  >  Administración de servidor