Se puede ver que usuario modifico algo en un Servidor?

[Tovenar]

Hola comunidad!

mi consulta es, tengo varios Domain Controllers...y en uno de ellos se disparo una politica que respaldo al resto y se desconfiguro todo en mi entorno..

mi consulta es, necesito saber y con que ideas como detectar o ver que usuario o que cosa modifico y disparo esta politica..

mi pregunta va mas alla de los eventos de logs.

Alguna idea?

saludos.

[adastra]

Creo que lo primero que debes hacer, es ver la politica del domain controller que se disparo, tendras que ver la configuración de ese servidor y una vez tengas claro cual fue la "instrucción" que obligo el lanzamiento dicho proceso, la modifiques segun tus necesidades, si tienes sospechas de que no ha sido por un error de configuración o una politica mal definida, intenta instalado un NIDS como Snort y configura sus reglas para que detecte cualquier evento producido en las máquinas que controlas.