sesion log inicio eventos dominio auditoria auditar active active-directory ldap ntlm ntfs gpo

active directory - log - En ActiveDirectory, ¿cómo se transmiten los eventos de auditoría de seguridad al registro de eventos del controlador de dominio? ¿Cómo escala el mecanismo?



auditoria active directory windows server 2012 (1)

En una configuración de múltiples dominios, quiero recopilar eventos de auditoría de acceso a archivos de seguridad en un lugar central.

En ActiveDirectory, es posible habilitar la auditoría de acceso a archivos en el controlador de dominio mediante la creación de un GPO. Además, en una computadora ''servidor de archivos'' diferente, que es miembro de uno de los dominios, se debe configurar una SACL en los objetos del sistema de archivos que quiero que sean auditados (y que estén incluidos en un recurso compartido de red).

Una vez hecho esto, los eventos de acceso a archivos se graban y, de alguna manera, se transfieren mágicamente al registro de eventos del controlador de dominio.

Realmente me gustaría saber:

  • ¿Cómo y cuándo se transfieren estos eventos? ¿La transferencia está encriptada?
  • ¿Es posible seleccionar directamente otro receptor (adicional) de esos eventos, además del controlador de dominio? Sé que es posible reenviar esos eventos de registro más adelante, pero ¿se reenvían por defecto al controlador de dominio? ¿Hay un reenvío implícito configurado?
  • ¿Cuánto tráfico se va a generar, con respecto a la carga de la red?

En primer lugar, el controlador de dominio es el servidor que tiene Active Directory (un tipo de base de datos de la organización). Active Directory identificó cada componente / recurso conectado en el dominio ya sea lógico (usuario) y físico (computadora e impresora) como un objeto. Este objeto tiene propiedades conocidas como Esquema. Este esquema ha sido catalogado en repositorios conocidos como GC (catálogo global) pero gc solo tiene información parcial para que los recursos puedan ser ubicados. Ahora, llegando a estas políticas. Hay dos cosas, GPO y OU. GPO es un conjunto de políticas que puede aplicar a unidades organizativas o unidades de agrupación superiores. Veamos cómo ocurre la comunicación. De nuevo, hay dos términos ampliamente utilizados 1. replicación y 2. LDAP Query.

La replicación se realiza entre el controlador para que el tráfico de red se pueda reducir y para una mayor disponibilidad de los recursos conectados al servidor. En la replicación, toda la información de recursos se ha sincronizado con el servidor. Para garantizar la integridad de la seguridad, existe un certificado (que proporciona identificación, así como un mecanismo de cifrado) y una delegación (que proporciona derechos).

LDAP es el protocolo a través del cual el usuario ha sido autenticado. Entonces, LDAP tiene consultas que son silenciosas de manera similar a otros lenguajes de consulta. Bueno, toda esta consulta se ha registrado finalmente en el servidor.

El GPO se ha replicado en recursos o puede solicitarlo por la fuerza. Si quieres hacerlo de inmediato