Como ver los usuarios que inician sesión en Directorio Activo de Microsoft.

Cuando se gestionan servidores una de las cosas que se tienen que controlar si o si, es quienes acceden a los servicios; controlando horarios, equipos desde donde se accede, o si las credenciales utilizadas son las correctas.

Hoy lo veremos como se hace con el Directorio Activo de Microsoft; para variar que siempre estamos en el blog con Linux y hay que ver otras cosas también. Usaré Windows Server 2016 porque es la versión que tengo y supongo que en las últimas versiones no habrá cambiado demasiado.

Empezamos.

Ingresamos a la Consola de Administración de Políticas de Grupo (GPO) para ello podemos ir al menú correspondiente o mas rápido, abrir el “Ejecutar” y allí ingresar gpmc.msc.

 

 

Una vez allí seguimos esta ruta en el menú:

Bosque dominio (redes.local en mi caso) > Dominios > redes.local > Default Domain Policy

 

 

Hacemos clic con el botón derecho del ratón y luego en “Editar”.

En el nuevo menú seguimos esta ruta:

Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Configuración de directiva de auditoría avanzada > Directivas de auditoría > Inicio y cierre de sesión

La ruta es un poco larga, lo podéis ver mejor en esta imagen.

 

Ahora en este menú tenemos varias opciones de auditoria relevantes:

• Auditar bloqueo de cuentas. Esta configuración de directiva permite auditar los eventos generados por un intento con errores para iniciar sesión en una cuenta bloqueada.
• Auditar modo rápido de Ipsec. Esta configuración de directiva permite auditar eventos generados por el protocolo Intercambio de claves por red (IKE) y el protocolo de Internet autenticado (AuthIP) durante negociaciones de modo rápido.
• Auditoría de pertenencia a grupos. Esta directiva permite auditar la información de pertenencia a grupos en el token de inicio de sesión del usuario. Los eventos de esta subcategoría se generan en el equipo en el que se crea una sesión de inicio de sesión
• Auditar cierre de sesión. El nombre lo dice todo.
• Auditoría de inicio de sesión. Esta es la que nos interesa para este caso.

Habilitamos la auditoría con el checkbox

Habilitamos la auditoria en el menú y así quedarán registrados los inicios de sesión. Una vez hayamos configurado estos parámetros de forma correcta vamos a ingresar al visor de eventos para analizar los respectivos eventos.

Podemos acceder al visor de eventos en el menú de herramientas o en Ejecutar introducimos “eventvwr”.

 

Y como vemos en la imagen nos sale reflejados los inicios de sesión haciendo clic podemos ver mas detalles.

También tenemos disponible la opción de filtrar por usuarios o por máquinas para redes grandes con muchos usuarios/equipos es fundamental.