¿Alguna vez has querido controlar quién inicia sesión en tu computadora y cuándo? En las ediciones profesionales de Windows, puede habilitar la auditoría de inicio de sesión para que Windows realice un seguimiento de qué cuentas de usuarios inician sesión y cuándo.

La configuración de eventos de inicio de sesión de auditoría realiza un seguimiento de los inicios de sesión locales y de la red. Cada evento de inicio de sesión especifica la cuenta de usuario que inició sesión y la hora en que tuvo lugar el inicio de sesión. También puede ver cuando los usuarios se desconectaron.

Nota:La auditoría de inicio de sesión solo funciona en la edición Professional de Windows, por lo que no puede usar esto si tiene una edición Home. Esto debería funcionar en Windows 7, 8 y Windows 10. En este artículo, cubriremos Windows 10. Las pantallas pueden parecer un poco diferentes en otras versiones, pero el proceso es bastante similar.

Habilitar la auditoría de inicio de sesión

Para habilitar la auditoría de inicio de sesión, va a utilizar el Editor de políticas de grupo local. Es una herramienta bastante poderosa, por lo que si nunca la has usado, vale la pena dedicar un tiempo para aprender lo que puede hacer. Además, si está en la red de una empresa, hágale un favor a todos y verifique primero con su administrador. Si su computadora de trabajo es parte de un dominio, también es probable que sea parte de una política de grupo de dominio que de todos modos reemplazará a la política de grupo local.

Para abrir el Editor de políticas de grupo local, presione Inicio, escriba “gpedit.msc, y luego seleccione la entrada resultante.

En el Editor de políticas de grupo local, en el panel de la izquierda, vaya a Política de computadora local> Configuración de la computadora> Configuración de Windows> Configuración de seguridad> Políticas locales> Política de auditoría. En el panel derecho, haga doble clic en la configuración "Auditar eventos de inicio de sesión".

En la ventana de propiedades que se abre, habilite la opción "Éxito" para que Windows inicie sesión con éxito. Habilite la opción "Error" si también desea que Windows registre los intentos fallidos de inicio de sesión. Haz clic en el botón "Aceptar" cuando hayas terminado.

Ahora puede cerrar la ventana del Editor de políticas de grupo local.

Ver eventos de inicio de sesión

Después de habilitar la auditoría de inicio de sesión, Windows registra esos eventos de inicio de sesión, junto con un nombre de usuario y una marca de tiempo, en el registro de seguridad. Puede ver estos eventos utilizando el Visor de eventos.

Presione Inicio, escriba "evento" y luego haga clic en el resultado del "Visor de eventos".

En la ventana "Visor de eventos", en el panel de la izquierda, navegue a los Registros de Windows> Seguridad.

En el panel central, es probable que vea una serie de eventos de "Auditoría exitosa". Windows registra detalles separados para cosas como cuando una cuenta con la que alguien inicia sesión obtiene sus privilegios con éxito. Está buscando eventos con el Id. De evento 4624; estos representan eventos de inicio de sesión exitosos. Puede ver detalles sobre un evento seleccionado en la parte inferior de ese panel central, pero también puede hacer doble clic en un evento para ver sus detalles en su propia ventana.

Y si se desplaza un poco hacia abajo en los detalles, puede ver la información que está buscando, como el nombre de la cuenta de usuario.

Y como este es solo otro evento en el registro de eventos de Windows con un ID de evento específico, también puede usar el Programador de tareas para tomar medidas cuando se produce un inicio de sesión. Incluso puede hacer que Windows le envíe un correo electrónico cuando alguien inicie sesión.

Los Mejores Consejos:
Comentarios: