Es posible hacer una auditoria de una carpeta o quien ha accedido a un documento en un server 2012 con AD?

Colapsar
X
 
  • Filtrar
  • Tiempo
  • Mostrar
Limpiar Todo
nuevos mensajes
  • juanjo_16v
    Senior Member
    • Jan
    • 1186

    Es posible hacer una auditoria de una carpeta o quien ha accedido a un documento en un server 2012 con AD?

    Hola gente:

    Tengo un pastelazo.

    En un cliente con un servidor 2012 con Active Directory me ha ocurrido una cosa super rara.

    En el servidor hay 20 usuarios (aunque activos hay 15) tienen redirigidas las carpetas escritorio y mis documentos de los usuarios (lo tipico, compartir una carpeta con todos los usuarios y en cada carpeta del usuario la carpeta escritorio y documentos). Todos los usuarios "rasos", ningún administrador.

    Yo estaba tranquilo, cada usuarios podía ver sus datos y aunque podian ver las carpetas de los otros usuario no podian ver su contenido.... hasta que ayer me llama el gerente y pueden ver todos sus datos!!! Todos los usuarios pueden entrar en su carpeta, y en escritorio y documentos, y ver sus datos!!

    Investigando hoy algo mas eso ocurre en dos cuentas sorprendentemente en la del gerente y en la antigua "subgerente" que ya no esta.

    El cliente quiere una cabeza, y yo no quiero que sea la mia.

    Que yo sepa esos permisos de la carpeta solo se pueden cambiar desde el servidor y como administrador no? Solo una persona tenia la contraseña del administrador para cambiar las contraseñas cuando se les olvidaban y siempre lo hacia siguiendo mis instrucciones por telefono, porque conocimientos de ese nivel, nadie en oficina, como para cambiar los permisos de una carpeta y que siga funcionando bien.

    En algún sitio del servidor, en el visor de eventos,etc.. se guarda información de cuando se cambia esta información y que tipo de cambio se hace?

    El otro problema es saber si han podido acceder a la información del gerente.Se puede saber quien ha accedido a sus documentos del gerente que no haya sido el?

    Se puede hacer una auditoria de todos esto?

    Gracias gente
  • jmtella
    Administrator
    • Nov
    • 19902

    #2
    Originalmente publicado por juanjo_16v Ver Mensaje
    Hola gente:

    Tengo un pastelazo.

    En un cliente con un servidor 2012 con Active Directory me ha ocurrido una cosa super rara.

    En el servidor hay 20 usuarios (aunque activos hay 15) tienen redirigidas las carpetas escritorio y mis documentos de los usuarios (lo tipico, compartir una carpeta con todos los usuarios y en cada carpeta del usuario la carpeta escritorio y documentos). Todos los usuarios "rasos", ningún administrador.

    Yo estaba tranquilo, cada usuarios podía ver sus datos y aunque podian ver las carpetas de los otros usuario no podian ver su contenido.... hasta que ayer me llama el gerente y pueden ver todos sus datos!!! Todos los usuarios pueden entrar en su carpeta, y en escritorio y documentos, y ver sus datos!!

    Investigando hoy algo mas eso ocurre en dos cuentas sorprendentemente en la del gerente y en la antigua "subgerente" que ya no esta.

    El cliente quiere una cabeza, y yo no quiero que sea la mia.

    Que yo sepa esos permisos de la carpeta solo se pueden cambiar desde el servidor y como administrador no? Solo una persona tenia la contraseña del administrador para cambiar las contraseñas cuando se les olvidaban y siempre lo hacia siguiendo mis instrucciones por telefono, porque conocimientos de ese nivel, nadie en oficina, como para cambiar los permisos de una carpeta y que siga funcionando bien.

    En algún sitio del servidor, en el visor de eventos,etc.. se guarda información de cuando se cambia esta información y que tipo de cambio se hace?

    El otro problema es saber si han podido acceder a la información del gerente.Se puede saber quien ha accedido a sus documentos del gerente que no haya sido el?

    Se puede hacer una auditoria de todos esto?

    Gracias gente
    A priori en un AD pueden establecers quotas... pero a posteriori nada...

    Una de dos, o alguien ha pillado vuestras contraseñas, o ha hecho una escalada de privilegios y ha conseguido tomar control...

    Comentario

    • juanjo_16v
      Senior Member
      • Jan
      • 1186

      #3
      La instalación es por defecto, no modifique muchas cosas. Pero por si acaso donde habría que mirar?


      Escalada de privilegios?? Un día me hicieron ir porque no funcionaba una contraseña y el problema era que no estaba activo el bloqueo del teclado numerico

      Comentario

      • jmtella
        Administrator
        • Nov
        • 19902

        #4
        Originalmente publicado por juanjo_16v Ver Mensaje
        La instalación es por defecto, no modifique muchas cosas. Pero por si acaso donde habría que mirar?


        Escalada de privilegios?? Un día me hicieron ir porque no funcionaba una contraseña y el problema era que no estaba activo el bloqueo del teclado numerico
        Ejecutas algo en el procedimiento de logon de uduarios?... Si es un powershell y no has tomado precaucuiones un acispado se te puiede meter hasta la cocina. Lo mismo con un cmd...

        Comentario

        • juanjo_16v
          Senior Member
          • Jan
          • 1186

          #5
          Habia un papel de unidades, de dos unidades en un script
          Editado por última vez por juanjo_16v; 10/10/2020, 09:28:55.

          Comentario

          • jmtella
            Administrator
            • Nov
            • 19902

            #6
            Originalmente publicado por juanjo_16v Ver Mensaje
            Habia un papel de unidades, de dos unidades en un script
            ¿script de que? ¿cmd o powrshell? ¿el powersehll se lanzaba con -noprofile?

            Comentario

            • juanjo_16v
              Senior Member
              • Jan
              • 1186

              #7
              No lo recuerdo bien, pero powershell seguro que no. Creo que era un bat con un comando net user

              Comentario

              • jmtella
                Administrator
                • Nov
                • 19902

                #8
                Originalmente publicado por juanjo_16v Ver Mensaje
                No lo recuerdo bien, pero powershell seguro que no. Creo que era un bat con un comando net user
                El propio usario puede dar permisos a su carpeta.. ¿no?.... lo digo por si acaso...

                Comentario

                • juanjo_16v
                  Senior Member
                  • Jan
                  • 1186

                  #9
                  No tienen ese conocimiento, ninguno de los dos

                  Comentario

                  • jmtella
                    Administrator
                    • Nov
                    • 19902

                    #10
                    Originalmente publicado por juanjo_16v Ver Mensaje
                    No tienen ese conocimiento, ninguno de los dos
                    Indirectamente se puede hacer..sin querer: crear una nueva carpeta (para copiar y ordenar ficheros por ejemplo), eliminar la anterior y rtenombrar estan ueva. Y que al crearse herede el ser compartida para todos...

                    Comentario

                    • jmtella
                      Administrator
                      • Nov
                      • 19902

                      #11
                      Originalmente publicado por jmtella Ver Mensaje

                      Indirectamente se puede hacer..sin querer: crear una nueva carpeta (para copiar y ordenar ficheros por ejemplo), eliminar la anterior y rtenombrar estan ueva. Y que al crearse herede el ser compartida para todos...
                      Es que tiene que haber una explicacion mas sencilla...es dificikl creer que alguien se juegue su puesto de trabajo modificando permisos de una carpeta de los jefes...

                      Comentario

                      • juanjo_16v
                        Senior Member
                        • Jan
                        • 1186

                        #12
                        Vale. Puedes ser una explicación.

                        Es posible saber si los documentos de esas cuentas se han leído o copiado por otros usuarios distintos del propietario? Necesito.saber si a esa información a accedido alguien

                        Comentario

                        • jmtella
                          Administrator
                          • Nov
                          • 19902

                          #13
                          Originalmente publicado por juanjo_16v Ver Mensaje
                          Vale. Puedes ser una explicación.

                          Es posible saber si los documentos de esas cuentas se han leído o copiado por otros usuarios distintos del propietario? Necesito.saber si a esa información a accedido alguien
                          El problema es que no hay forma...que yo conozca, en una instalacion virgen de windows sin nada más...

                          Comentario

                          • juanjo_16v
                            Senior Member
                            • Jan
                            • 1186

                            #14
                            Gracias. Lo que suponía. Pensaba que podía haber alguna posibilidad por las políticas del AD

                            y en las propiedades de los documentos? Son casi todos word o excel

                            Comentario

                            • jmtella
                              Administrator
                              • Nov
                              • 19902

                              #15
                              Originalmente publicado por juanjo_16v Ver Mensaje
                              Gracias. Lo que suponía. Pensaba que podía haber alguna posibilidad por las políticas del AD

                              y en las propiedades de los documentos? Son casi todos word o excel
                              Si los han editado se puede ver. Pero piensa que si realmente hay alguien que se ha saltado la seguridad, puede que li haya hecho con otros usuario... con el del gerente... o con el tuyo,,, No es fiable mientras no se sepa como lo han hecho.

                              Comentario

                              Trabajando...
                              X