Cómo detectar quién eliminó una cuenta de computadora en Active Directory
Auditoría nativa vs. Netwrix Auditor for Active Directory
Netwrix Auditor for Active Directory
- Ejecute Netwrix Auditor → Vaya a "Buscar" → Haga clic en "Modo avanzado" si no está seleccionado → Configure los siguientes filtros:
- Filter = "Fuente de datos"
Operator = "Igual a"
Value = "Active Directory" - Filter = "Tipo de objeto"
Operator = "Igual a"
Value = "Computadora" - Filter = "Acción"
Operator = "Igual a"
Value = "Eliminado"
- Filter = "Fuente de datos"
- Haga clic en el botón "Buscar" y revise quién eliminó cuentas de computadora.
Auditoría Nativa
- Ejecute gpmc.msc → edite "Política de Dominio Predeterminada" → Configuración del Equipo → Políticas → Configuración de Windows → Configuración de Seguridad:
- Políticas locales → Política de auditoría → Auditoría de gestión de cuentas → Definir → Éxito
- Registro de eventos → Definir → Tamaño máximo del registro de seguridad en 1gb y Método de retención del registro de seguridad en Sobrescribir eventos según sea necesario.
- Abra ADSI Edit → Conéctese al contexto de nomenclatura predeterminado → haga clic derecho en "DC=nombre de dominio" → Propiedades → Seguridad (Pestaña) → Avanzado → Auditoría (Pestaña) → Haga clic en "Agregar" → Elija las siguientes configuraciones:
- Principal: Todos; Tipo: Éxito; Aplica a: Este objeto y todos los objetos descendientes; Permisos: Eliminar, Eliminar subárbol, Escribir todas las propiedades → Haga clic en "Aceptar".
- Para definir qué cuenta de computadora fue eliminada, filtre el Registro de Eventos de Seguridad para el Evento ID 4743.
Aprende más sobre Netwrix Auditor for Active Directory
Identifique quién eliminó cuentas de computadora para evitar errores de autenticación
La eliminación inadecuada de una cuenta de usuario puede causar problemas graves para una organización. Los usuarios cuyas cuentas de computadora han sido eliminadas no podrán iniciar sesión en los sistemas de TI utilizando su autenticación de dominio. Si ya han iniciado sesión, tendrán problemas para acceder a su correo electrónico, carpetas compartidas, SharePoint y otros recursos. Además de esta pérdida de productividad, el personal de TI tiene que dedicar tiempo a investigar por qué ha ocurrido un error de autenticación. Para evitar estos problemas, es de vital importancia detectar la eliminación de cuentas de computadora de manera oportuna.
Netwrix Auditor for Active Directory permite una visibilidad completa de la actividad en Active Directory y Group Policy al proporcionar datos de auditoría accionables sobre eventos de acceso y cambios. Las alertas de correo electrónico personalizables notifican a los administradores de TI cuando alguien elimina cuentas de computadoras, para que puedan responder rápidamente a eliminaciones no deseadas y prevenir los problemas que surgen cuando el sistema no pudo autenticar a un usuario. Los informes de auditoría contienen detalles accionables, como quién eliminó qué cuenta de computadora y cuándo y dónde ocurrió el cambio, para que los administradores puedan investigar y prevenir problemas similares en el futuro.
Compartir en