Многопользовательская функциональность в Windows позволила нам удобно использовать его в общественных местах, таких как школы, колледжи, офисы и т. д. В этих местах обычно есть администратор, которому удается следить за действиями работающих там пользователей. Иногда пользователи выходят за свои пределы и модифицируют учетные записи, настроенные в режиме рабочей группы^(Workgroup) . Это может иметь последствия для безопасности, поэтому нам следует настроить Windows для отслеживания действий пользователя.

Настроив Windows для мониторинга действий пользователей, мы можем повысить безопасность администрирования, а также можем наказать пользователей-жертв, просматривая их записи в случае правонарушения. В этой статье мы расскажем, как отслеживать действия пользователей в Windows 11/10/8.1/8/7 с помощью политики аудита. Вот как:

Отслеживание действий пользователей^{(Track User Activity)} с помощью политики аудита в режиме рабочей группы^{(WorkGroup Mode)}

1. Нажмите комбинацию Windows Key + R , введите put secpol.msc в диалоговом окне « Выполнить^(Run)  » и нажмите Enter , чтобы открыть локальную политику безопасности^{(Local Security Policy)} .

2. В окне Локальная политика^{(Local Security Policy)} безопасности разверните Параметры безопасности^{(Security Settings)} > Локальные политики^{(Local Policies)} > Политика аудита^{(Audit Policy)} . Теперь ваше окно должно выглядеть примерно так:

3. На правой панели вы можете увидеть 9 Политики аудита… [] не имеют ^(Audit…[])аудита^{(No auditing)} в качестве предопределенного^{(pre-defined)} параметра безопасности. Нажмите одну^{(Click one)} за другой все политики и выберите « Успех»^(Success) и « Отказ^(Failure) », нажмите « Применить^{( Apply)} », а затем « ОК^(OK) » для каждой политики.

Таким образом, мы настроим Windows для отслеживания активности пользователя.

Выполните следующие действия, чтобы получить отслеженные записи:

Отслеживайте действия пользователей с помощью средства просмотра событий^{(Trace User Activity Using Event Viewer)}

1. Нажмите комбинацию Windows Key + R , введите put  eventvwr в  диалоговом окне « Выполнить » и нажмите ^(Run)Enter , чтобы открыть средство просмотра событий^{(Event Viewer)} .

2. Теперь в окне просмотра событий^{(Event Viewe)} на левой панели выберите Журналы Windows^{(Windows Logs)} > Безопасность^(Security) . Здесь Windows ведет учет всех событий, касающихся безопасности.

3. На центральной панели щелкните любое событие, чтобы получить информацию о нем:

Теперь вот список идентификаторов^(IDs) событий, которые охватывают действия пользователей для учетных записей в режиме рабочей группы:

1. Создать пользователя:^{(Create User:)} Ниже приведены идентификаторы событий^{(Event IDs)} , которые регистрируются при создании пользователя.

• Код события:^{(Event ID: )} 4728 | Тип:^{(Type: )} Успех аудита | Категория:^{(Category: )} Управление группой безопасности | Описание:^{(Description: )} Участник добавлен в глобальную группу с включенной безопасностью.

• Идентификатор события:^{(Event ID: )} 4720 | Тип:^{(Type: )} Успех аудита | Категория:^{(Category: )} Управление учетными записями пользователей | Описание:^{(Description: )} Создана учетная запись пользователя.

• Код события:^{(Event ID: )} 4722 | Тип:^{(Type: )} Успех аудита | Категория:^{(Category: )} Управление учетными записями пользователей | Описание:^{(Description: )} Учетная запись пользователя включена.

• Код события:^{(Event ID: )} 4738 | Тип:^{(Type: )} Аудит успеха | Категория:^{(Category: )} Управление учетными записями пользователей | Описание:^{(Description: )} Учетная запись пользователя была изменена.

• Код события:^{(Event ID: )} 4732 | Тип:^{(Type: )} Аудит успеха | Категория: ^{(Category: )} Управление группой безопасности | Описание:^{(Description: )} Участник добавлен в локальную группу с включенной безопасностью.

2. Удалить пользователя.^{(Delete User: )} Ниже приведены идентификаторы событий^{(Event IDs)} , которые регистрируются при удалении пользователя.

• Код события:^{(Event ID: )} 4733 | Тип:^{(Type: )} Аудит успеха | Категория: ^{(Category: )} Управление группой безопасности | Описание:^{(Description: )} Член был удален из локальной группы с включенной безопасностью.

• Код события:^{(Event ID: )} 4729 | Тип:^{(Type: )} Аудит успеха | Категория: ^{(Category: )} Управление группой безопасности | Описание:^{(Description: )} Участник добавлен в глобальную группу с включенной безопасностью.

• Код события:^{(Event ID: )} 4726 | Тип:^{( Type: )} Аудит успеха | Категория: ^{(Category: )} Управление учетными записями пользователей | Описание:^{(Description: )} Учетная запись пользователя удалена.

3. Учетная запись пользователя отключена.^{(User Account Disabled: )} Ниже приведены идентификаторы событий^{(Event IDs)} , которые регистрируются, когда пользователь отключен.

• Идентификатор события:^{(Event ID: )} 4725 | Тип:^{(Type: )} Аудит успеха | Категория: ^{(Category: )} Управление учетными записями пользователей | Описание:^{(Description: )} учетная запись пользователя отключена.

• Код события:^{(Event ID: )} 4738 | Тип:^{(Type: )} Аудит успеха | Категория: ^{(Category: )} Управление учетными записями пользователей | Описание:^{(Description: )} Учетная запись пользователя была изменена.

4. Включена учетная запись пользователя.^{(User Account Enabled: )} Ниже приведены идентификаторы событий^{(Event IDs)} , которые регистрируются, когда пользователь включен.

• Код события:^{(Event ID: )} 4722 | Тип:^{(Type: )} Аудит успеха | Категория: ^{(Category: )} Управление учетными записями пользователей | Описание:^{(Description: )} Учетная запись пользователя включена.

• Код события:^{(Event ID: )} 4738 | Тип:^{(Type: )} Аудит успеха | Категория: ^{(Category: )} Управление учетными записями пользователей | Описание:^{(Description: )} Учетная запись пользователя была изменена.

5. Сброс пароля учетной записи пользователя.^{(User Account Password Reset: )} Ниже приведены идентификаторы событий^{(Event IDs)} , которые регистрируются при сбросе пароля учетной записи пользователя .^{(User Account Password)}

• Код события:^{(Event ID: )} 4738 | Тип:^{(Type: )} Аудит успеха | Категория: ^{(Category: )} Управление учетными записями пользователей | Описание:^{(Description: )} Учетная запись пользователя была изменена.

• Код события:^{(Event ID: )} 4724 | Тип:^{(Type: )} Аудит успеха | Категория: ^{(Category: )} Управление учетными записями пользователей | Описание:^{(Description: )} Была предпринята попытка сбросить пароль учетной записи.

6. Набор путей к профилю учетной записи пользователя. ^{(User Account Profile Path Set: )}Ниже приведен^(Below) идентификатор события^{(Event ID)} , которое регистрируется, когда путь к профилю^{(Profile Path)} устанавливается для учетной записи пользователя.

• Код события:^{(Event ID: )} 4738 | Тип:^{(Type: )} Аудит успеха | Категория: ^{(Category: )} Управление учетными записями пользователей | Описание:^{(Description: )} Учетная запись пользователя была изменена.

7. Переименование учетной записи пользователя.^{(User Account Rename: )} Ниже приведены идентификаторы событий^{(Event IDs)} , которые регистрируются при переименовании учетной записи пользователя .^{(User Account)}

•  Код события:^{(Event ID: )} 4781 | Тип:^{(Type: )} Аудит успеха | Категория: ^{(Category: )} Управление учетными записями пользователей | Описание:^{(Description: )} Имя учетной записи было изменено.

• Код события:^{(Event ID: )} 4738 | Type: Аудит успеха | Категория: ^{(Category: )} Управление учетными записями пользователей | Описание:^{(Description: )} Учетная запись пользователя была изменена.

8. Создать локальную группу.^{(Create Local Group: )} Ниже приведены идентификаторы событий^{(Event IDs)} , которые регистрируются при создании локальной группы^{(Local Group)} .

• Код события:^{(Event ID: )} 4731 | Тип:^{(Type: )} Аудит успеха | Категория: ^{(Category: )} Управление группой безопасности | Описание:^{(Description: )} Создана локальная группа с включенной безопасностью.

• Код события:^{(Event ID: )} 4735 | Тип:^{(Type: )} Аудит успеха | Категория: ^{(Category: )} Управление группой безопасности | Описание:^{(Description: )} локальная группа с включенной безопасностью была изменена

9. Добавить пользователя в локальную группу. ^{(Add User to Local Group: )}Ниже приведен^(Below) идентификатор события^{(Event ID)} , которое регистрируется при добавлении пользователя в локальную^(Local) группу.

• Код события:^{(Event ID: )} 4732 | Тип:^{(Type: )} Аудит успеха | Категория: ^{(Category: )} Управление группой безопасности | Описание:^{(Description: )} Участник добавлен в локальную группу с включенной безопасностью.

10. Удаление пользователя из локальной группы. ^{(Remove User from Local Group: )}Ниже приведен^(Below) идентификатор  события^{(Event ID)} , которое регистрируется при удалении пользователя из локальной^(Local) группы.

• Код события:^{(Event ID: )} 4733 | Тип:^(Type:) Аудит успеха | Категория:^(Category:)  Управление группой безопасности | Описание:^{(Description:)} Участник был удален из локальной группы с включенной безопасностью.

11. Удалить локальную группу. ^{(Delete Local Group: )}Ниже приведен^(Below) идентификатор события^{(Event ID)} , которое регистрируется при удалении локальной группы .^{(Local Group)}

• Код события:^{(Event ID: )} 4734 | Тип:^{(Type: )} Аудит успеха | Категория: ^{(Category: )} Управление группой безопасности | Описание:^{(Description: )} локальная группа с включенной безопасностью была удалена .

12. Переименовать локальную группу.^{(Rename Local Group: )} Ниже приведены идентификаторы событий^{(Event IDs)} , которые регистрируются при переименовании локальной группы^{(Local Group)} .

• Код события:^{(Event ID: )} 4781 | Тип:^{(Type: )} Аудит успеха | Категория: ^{(Category: )} Управление учетными записями пользователей | Описание:^{(Description: )} Имя учетной записи было изменено

• Код события:^{(Event ID: )} 4735 | Тип:^{(Type: )} Аудит успеха | Категория: ^{(Category: )} Управление группой безопасности | Описание:^{(Description: )} локальная группа с включенной безопасностью была изменена

Таким образом, вы можете отслеживать действия пользователей. Эта статья применима для Windows 11/10/8.1 в режиме рабочей группы^{(Workgroup Mode)} . Для домена Active Directory^{(Directory Domain)} процедура будет другой.

How to track User Activity in WorkGroup Mode on Windows 11/10

Multi-user functionality in Windows has enabled us to use it conveniently in public places like schools, colleges, offices, etc. At these places, there is generally an administrator, who manages to keep an eye on the activities of users working therein. Sometimes, users go beyond their limits and modify accounts configured in Workgroup mode. This can have security repercussions, and thus we should configure Windows to track down user activities.

By configuring Windows for monitoring user activities, we can increase the security of the administration and can also punish the victim users by observing their records in case of an offense. In this article, we’ll tell you the way to track user activities in Windows 11/10/8.1/8/7 using Audit Policy. Here is how:

Track User Activity using Audit Policy in WorkGroup Mode

1. Press Windows Key + R combination, type put secpol.msc in Run dialog box and hit Enter to open the Local Security Policy.

2. In the Local Security Policy window, expand Security Settings > Local Policies > Audit Policy. Now you should get your window resembled with this one:

3. In the right pane, you can see 9 Audit…[] policies have No auditing as pre-defined security setting. Click one by one all the policies and make the selection to Success and Failure, click Apply followed by OK for each policy.

In this way, we will have configured Windows to track down user activity.

Follow these steps to get the traced records:

Trace User Activity Using Event Viewer

1. Press Windows Key + R combination, type put eventvwr in Run dialog box and hit Enter to open the Event Viewer.

2. Now, in the Event Viewer window, from the left pane, select Windows Logs > Security. Here Windows keeps a record of every event concerning security.

3. From the center pane, click any event to get its info:

Now, here is the list of the event IDs which covers the user activities for the accounts in the workgroup mode:

1. Create User: Below are the Event IDs that get logged when the user is created.

• Event ID: 4728 | Type: Audit Success | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4720 | Type: Audit Success | Category: User Account Management | Description: A User account was created.

• Event ID: 4722 | Type: Audit Success | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group.

2. Delete User: Below are the Event IDs that get logged when the user is deleted.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group.

• Event ID: 4729 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4726 | Type: Success Audit | Category: User Account Management | Description: A User account was deleted.

3. User Account Disabled: Below are the Event IDs that get logged when the user is disabled.

• Event ID: 4725 | Type: Success Audit | Category: User Account Management | Description: A User account was disabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

4. User Account Enabled: Below are the Event IDs that get logged when the user is enabled.

• Event ID: 4722 | Type: Success Audit | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

5. User Account Password Reset: Below are the Event IDs that get logged when the User Account Password gets reset.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4724 | Type: Success Audit | Category: User Account Management | Description: An attempt was made to reset an account’s password.

6. User Account Profile Path Set: Below is the Event ID that gets logged when Profile Path gets set for a user account.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

7. User Account Rename: Below are the Event IDs that get logged when the User Account is renamed.

•  Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: The name of an account was changed.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User Account was changed.

8. Create Local Group: Below are the Event IDs that get logged when the Local Group is created.

• Event ID: 4731 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was created

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

9. Add User to Local Group: Below is the Event ID that gets logged when the user gets added to the Local group.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group

10. Remove User from Local Group: Below is the Event ID that gets logged when the user is removed from the Local group.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group

11. Delete Local Group: Below is the Event ID that gets logged when the Local Group is deleted.

• Event ID: 4734 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was deleted

12. Rename Local Group: Below are the Event IDs that get logged when the Local Group is renamed.

• Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: A name of an account was changed

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

In this way, you can trace users with their activities. This article is applicable for Windows 11/10/8.1 in Workgroup Mode. For Active Directory Domain, the procedure will be different.

Related posts

• Delete Старые пользовательские профили и файлы автоматически в Windows 10

• Как добавить Group Policy Editor на Windows 10 Home Edition

• Как включить или отключить Win32 Long Paths на Windows 10

• Как отключить Picture Password Sign-In option в Windows 10

• Как указать Minimum and Maximum PIN length в Windows 10

• Как применить Layered Group Policy в Windows 11/10

• Limit Reservable Bandwidth Setting в Windows 10

• Как указать крайний срок до автоматического перезапуска для Update installation

• Как выключить или на Airplane Mode в Windows 10

• Как отслеживать компьютер с Windows и активность пользователей

• Create Local Administrator Account на Windows 10 с использованием CMD

• Перенаправляющие сайты из IE к Microsoft Edge с использованием Group Policy в Windows 10

• Включить Windows 10 Full экран Start Menu с использованием Group Policy or Registry

• Включить, отключить Autocorrect and Highlight Misspelled Words - Windows 10

• Как проверить Group Policy, примененный на компьютере Windows 10

• Как Import or Export Group Policy settings в Windows 10

• Stop Windows 10 от предварительной нагрузки Microsoft Edge на Startup

• Включить или отключить Fast Logon Optimization в Windows 10

• Desktop Background Group Policy не применяется в Windows 10

• Windows 10 не Sleep | Sleep Mode не работает в Windows 10