Funkcjonalność wieloużytkownikowa w systemie Windows^(Windows) umożliwiła nam wygodne korzystanie z niego w miejscach publicznych, takich jak szkoły, uczelnie, urzędy itp. W tych miejscach na ogół jest administrator, który potrafi na bieżąco śledzić poczynania pracujących tam użytkowników. Czasami użytkownicy przekraczają swoje granice i modyfikują konta skonfigurowane w trybie grupy roboczej^(Workgroup) . Może to mieć wpływ na bezpieczeństwo, dlatego powinniśmy skonfigurować system Windows^(Windows) do śledzenia działań użytkowników.

Konfigurując system Windows^(Windows) do monitorowania działań użytkowników, możemy zwiększyć bezpieczeństwo administracji, a także ukarać ofiary, obserwując ich zapisy w przypadku przestępstwa. W tym artykule dowiesz się, jak śledzić działania użytkowników w Windows 11/10/8.1/8/7 za pomocą zasad audytu. Oto jak:

Śledź aktywność użytkownika^{(Track User Activity)} za pomocą zasad audytu w trybie grupy roboczej^{(WorkGroup Mode)}

1. Naciśnij kombinację Windows Key + Rsecpol.msc w  oknie dialogowym Uruchom i naciśnij ^(Run)Enter , aby otworzyć Zasady zabezpieczeń lokalnych^{(Local Security Policy)} .

2. W oknie Zasady zabezpieczeń lokalnych^{(Local Security Policy)} rozwiń Ustawienia zabezpieczeń^{(Security Settings)} > Zasady lokalne^{(Local Policies)} > Zasady audytu^{(Audit Policy)} . Teraz powinieneś upodobnić swoje okno do tego:

3. W prawym okienku można zobaczyć 9 zasad audytu…[] , które mają ^(Audit…[])Brak audytu^{(No auditing)} jako wstępnie zdefiniowane^{(pre-defined)} ustawienie zabezpieczeń. Kliknij^{(Click one)} kolejno wszystkie zasady i wybierz opcję Sukces^(Success) i Porażka^(Failure) , kliknij Zastosuj^{( Apply)} , a następnie OK dla każdej zasady.

W ten sposób skonfigurujemy system Windows^(Windows) do śledzenia aktywności użytkownika.

Wykonaj następujące kroki, aby uzyskać prześledzone rekordy:

Śledź aktywność użytkownika za pomocą Podglądu zdarzeń^{(Trace User Activity Using Event Viewer)}

1. Naciśnij kombinację  Windows Key + Reventvwr w  oknie dialogowym Uruchom i naciśnij ^(Run)Enter , aby otworzyć Podgląd zdarzeń^{(Event Viewer)} .

2. Teraz w oknie Podgląd zdarzeń^{(Event Viewe)} , z lewego panelu, wybierz Dzienniki Windows^{(Windows Logs)} > Bezpieczeństwo^(Security) . Tutaj Windows rejestruje każde zdarzenie dotyczące bezpieczeństwa.

3. W środkowym okienku kliknij dowolne wydarzenie, aby uzyskać jego informacje:

Oto lista identyfikatorów^(IDs) zdarzeń, która obejmuje działania użytkowników dla kont w trybie grupy roboczej:

1. Utwórz użytkownika:^{(Create User:)} Poniżej znajdują się identyfikatory zdarzeń^{(Event IDs)} , które są rejestrowane podczas tworzenia użytkownika.

• Identyfikator zdarzenia:^{(Event ID: )} 4728 | Wpisz:^{(Type: )} Sukces audytu | Kategoria:^{(Category: )} Zarządzanie grupami bezpieczeństwa | Opis:^{(Description: )} członek został dodany do grupy globalnej z włączonymi zabezpieczeniami.

• Identyfikator zdarzenia:^{(Event ID: )} 4720 | Wpisz:^{(Type: )} Sukces audytu | Kategoria:^{(Category: )} Zarządzanie kontem użytkownika | Opis:^{(Description: )} Utworzono konto użytkownika.

• Identyfikator zdarzenia:^{(Event ID: )} 4722 | Wpisz:^{(Type: )} Sukces audytu | Kategoria:^{(Category: )} Zarządzanie kontem użytkownika | Opis:^{(Description: )} Konto użytkownika zostało włączone.

• Identyfikator zdarzenia:^{(Event ID: )} 4738 | Typ:^{(Type: )} Audyt sukcesu | Kategoria:^{(Category: )} Zarządzanie kontem użytkownika | Opis:^{(Description: )} Konto użytkownika zostało zmienione.

• Identyfikator zdarzenia:^{(Event ID: )} 4732 | Typ:^{(Type: )} Audyt sukcesu | Kategoria: ^{(Category: )} Zarządzanie grupami bezpieczeństwa | Opis:^{(Description: )} do grupy lokalnej z włączonymi zabezpieczeniami dodano członka.

2. Usuń użytkownika:^{(Delete User: )} Poniżej znajdują się identyfikatory zdarzeń^{(Event IDs)} , które są rejestrowane po usunięciu użytkownika.

• Identyfikator zdarzenia:^{(Event ID: )} 4733 | Typ:^{(Type: )} Audyt sukcesu | Kategoria: ^{(Category: )} Zarządzanie grupami bezpieczeństwa | Opis:^{(Description: )} członek został usunięty z grupy lokalnej z włączonymi zabezpieczeniami.

• Identyfikator zdarzenia:^{(Event ID: )} 4729 | Typ:^{(Type: )} Audyt sukcesu | Kategoria: ^{(Category: )} Zarządzanie grupami bezpieczeństwa | Opis:^{(Description: )} członek został dodany do grupy globalnej z włączonymi zabezpieczeniami.

• Identyfikator zdarzenia:^{(Event ID: )} 4726 | Typ:^{( Type: )} Audyt sukcesu | Kategoria: ^{(Category: )} Zarządzanie kontem użytkownika | Opis:^{(Description: )} Konto użytkownika zostało usunięte.

3. Wyłączone konto użytkownika:^{(User Account Disabled: )} Poniżej znajdują się identyfikatory zdarzeń^{(Event IDs)} , które są rejestrowane, gdy użytkownik jest wyłączony.

• Identyfikator zdarzenia:^{(Event ID: )} 4725 | Typ:^{(Type: )} Audyt sukcesu | Kategoria: ^{(Category: )} Zarządzanie kontem użytkownika | Opis:^{(Description: )} Konto użytkownika zostało wyłączone.

• Identyfikator zdarzenia:^{(Event ID: )} 4738 | Typ:^{(Type: )} Audyt sukcesu | Kategoria: ^{(Category: )} Zarządzanie kontem użytkownika | Opis:^{(Description: )} Konto użytkownika zostało zmienione.

4. Włączone konto użytkownika:^{(User Account Enabled: )} Poniżej znajdują się identyfikatory zdarzeń^{(Event IDs)} , które są rejestrowane, gdy użytkownik jest włączony.

• Identyfikator zdarzenia:^{(Event ID: )} 4722 | Typ:^{(Type: )} Audyt sukcesu | Kategoria: ^{(Category: )} Zarządzanie kontem użytkownika | Opis:^{(Description: )} Konto użytkownika zostało włączone.

• Identyfikator zdarzenia:^{(Event ID: )} 4738 | Typ:^{(Type: )} Audyt sukcesu | Kategoria: ^{(Category: )} Zarządzanie kontem użytkownika | Opis:^{(Description: )} Konto użytkownika zostało zmienione.

5. Resetowanie hasła do konta użytkownika:^{(User Account Password Reset: )} Poniżej znajdują się identyfikatory zdarzeń^{(Event IDs)} , które są rejestrowane po zresetowaniu hasła do konta użytkownika .^{(User Account Password)}

• Identyfikator zdarzenia:^{(Event ID: )} 4738 | Typ:^{(Type: )} Audyt sukcesu | Kategoria: ^{(Category: )} Zarządzanie kontem użytkownika | Opis:^{(Description: )} Konto użytkownika zostało zmienione.

• Identyfikator zdarzenia:^{(Event ID: )} 4724 | Typ:^{(Type: )} Audyt sukcesu | Kategoria: ^{(Category: )} Zarządzanie kontem użytkownika | Opis:^{(Description: )} podjęto próbę zresetowania hasła do konta.

6. Zestaw ścieżki profilu konta użytkownika: ^{(User Account Profile Path Set: )}Poniżej^(Below) znajduje się identyfikator zdarzenia^{(Event ID)} , który jest rejestrowany po ustawieniu ścieżki profilu^{(Profile Path)} dla konta użytkownika.

• Identyfikator zdarzenia:^{(Event ID: )} 4738 | Typ:^{(Type: )} Audyt sukcesu | Kategoria: ^{(Category: )} Zarządzanie kontem użytkownika | Opis:^{(Description: )} Konto użytkownika zostało zmienione.

7. Zmiana nazwy konta użytkownika:^{(User Account Rename: )} Poniżej znajdują się identyfikatory zdarzeń^{(Event IDs)} , które są rejestrowane po zmianie nazwy konta użytkownika^{(User Account)} .

•  Identyfikator zdarzenia:^{(Event ID: )} 4781 | Typ:^{(Type: )} Audyt sukcesu | Kategoria: ^{(Category: )} Zarządzanie kontem użytkownika | Opis:^{(Description: )} Zmieniono nazwę konta.

• Identyfikator zdarzenia:^{(Event ID: )} 4738 | Type: Audyt sukcesu | Kategoria: ^{(Category: )} Zarządzanie kontem użytkownika | Opis:^{(Description: )} Konto użytkownika zostało zmienione.

8. Utwórz grupę lokalną:^{(Create Local Group: )} Poniżej znajdują się identyfikatory zdarzeń^{(Event IDs)} , które są rejestrowane podczas tworzenia grupy lokalnej^{(Local Group)} .

• Identyfikator zdarzenia:^{(Event ID: )} 4731 | Typ:^{(Type: )} Audyt sukcesu | Kategoria: ^{(Category: )} Zarządzanie grupami bezpieczeństwa | Opis:^{(Description: )} utworzono grupę lokalną z włączonymi zabezpieczeniami

• Identyfikator zdarzenia:^{(Event ID: )} 4735 | Typ:^{(Type: )} Audyt sukcesu | Kategoria: ^{(Category: )} Zarządzanie grupami bezpieczeństwa | Opis:^{(Description: )} Zmieniono grupę lokalną z włączonymi zabezpieczeniami

9. Dodaj użytkownika do grupy lokalnej: ^{(Add User to Local Group: )}Poniżej^(Below) znajduje się identyfikator zdarzenia^{(Event ID)} , który jest rejestrowany, gdy użytkownik zostaje dodany do grupy lokalnej^(Local) .

• Identyfikator zdarzenia:^{(Event ID: )} 4732 | Typ:^{(Type: )} Audyt sukcesu | Kategoria: ^{(Category: )} Zarządzanie grupami bezpieczeństwa | Opis:^{(Description: )} dodano członka do grupy lokalnej z włączonymi zabezpieczeniami

10. Usuń użytkownika z grupy lokalnej: ^{(Remove User from Local Group: )}Poniżej^(Below) znajduje się  identyfikator zdarzenia^{(Event ID)} , który jest rejestrowany po usunięciu użytkownika z grupy lokalnej^(Local) .

• Identyfikator zdarzenia:^{(Event ID: )} 4733 | Typ:^(Type:) Audyt sukcesu | Kategoria:^(Category:)  Zarządzanie grupami bezpieczeństwa | Opis:^{(Description:)} członek został usunięty z grupy lokalnej z włączonymi zabezpieczeniami

11. Usuń grupę lokalną: ^{(Delete Local Group: )}Poniżej^(Below) znajduje się identyfikator zdarzenia^{(Event ID)} , który jest rejestrowany po usunięciu grupy lokalnej^{(Local Group)} .

• Identyfikator zdarzenia:^{(Event ID: )} 4734 | Typ:^{(Type: )} Audyt sukcesu | Kategoria: ^{(Category: )} Zarządzanie grupami bezpieczeństwa | Opis:^{(Description: )} Usunięto grupę lokalną z włączonymi zabezpieczeniami

12. Zmień nazwę grupy lokalnej:^{(Rename Local Group: )} Poniżej znajdują się identyfikatory zdarzeń^{(Event IDs)} , które są rejestrowane po zmianie nazwy grupy lokalnej^{(Local Group)} .

• Identyfikator zdarzenia:^{(Event ID: )} 4781 | Typ:^{(Type: )} Audyt sukcesu | Kategoria: ^{(Category: )} Zarządzanie kontem użytkownika | Opis:^{(Description: )} Zmieniono nazwę konta

• Identyfikator zdarzenia:^{(Event ID: )} 4735 | Typ:^{(Type: )} Audyt sukcesu | Kategoria: ^{(Category: )} Zarządzanie grupami bezpieczeństwa | Opis:^{(Description: )} Zmieniono grupę lokalną z włączonymi zabezpieczeniami

W ten sposób możesz śledzić użytkowników wraz z ich działaniami. Ten artykuł dotyczy Windows 11/10/8.1 w trybie grupy roboczej^{(Workgroup Mode)} . W przypadku domeny^{(Directory Domain)} Active Directory procedura będzie inna.

How to track User Activity in WorkGroup Mode on Windows 11/10

Multi-usеr functiоnality in Windows has enabled us to use it conveniently in public places like schools, colleges, offices, etc. At these places, there is generally an administrator, who manages to keep an eye on the activities of users working therein. Sometimes, users go beyond their limits and modify accounts configured in Workgroup mode. This can have security repercussions, and thus we should configure Windows to track down user activities.

By configuring Windows for monitoring user activities, we can increase the security of the administration and can also punish the victim users by observing their records in case of an offense. In this article, we’ll tell you the way to track user activities in Windows 11/10/8.1/8/7 using Audit Policy. Here is how:

Track User Activity using Audit Policy in WorkGroup Mode

1. Press Windows Key + R combination, type put secpol.msc in Run dialog box and hit Enter to open the Local Security Policy.

2. In the Local Security Policy window, expand Security Settings > Local Policies > Audit Policy. Now you should get your window resembled with this one:

3. In the right pane, you can see 9 Audit…[] policies have No auditing as pre-defined security setting. Click one by one all the policies and make the selection to Success and Failure, click Apply followed by OK for each policy.

In this way, we will have configured Windows to track down user activity.

Follow these steps to get the traced records:

Trace User Activity Using Event Viewer

1. Press Windows Key + R combination, type put eventvwr in Run dialog box and hit Enter to open the Event Viewer.

2. Now, in the Event Viewer window, from the left pane, select Windows Logs > Security. Here Windows keeps a record of every event concerning security.

3. From the center pane, click any event to get its info:

Now, here is the list of the event IDs which covers the user activities for the accounts in the workgroup mode:

1. Create User: Below are the Event IDs that get logged when the user is created.

• Event ID: 4728 | Type: Audit Success | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4720 | Type: Audit Success | Category: User Account Management | Description: A User account was created.

• Event ID: 4722 | Type: Audit Success | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group.

2. Delete User: Below are the Event IDs that get logged when the user is deleted.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group.

• Event ID: 4729 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4726 | Type: Success Audit | Category: User Account Management | Description: A User account was deleted.

3. User Account Disabled: Below are the Event IDs that get logged when the user is disabled.

• Event ID: 4725 | Type: Success Audit | Category: User Account Management | Description: A User account was disabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

4. User Account Enabled: Below are the Event IDs that get logged when the user is enabled.

• Event ID: 4722 | Type: Success Audit | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

5. User Account Password Reset: Below are the Event IDs that get logged when the User Account Password gets reset.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4724 | Type: Success Audit | Category: User Account Management | Description: An attempt was made to reset an account’s password.

6. User Account Profile Path Set: Below is the Event ID that gets logged when Profile Path gets set for a user account.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

7. User Account Rename: Below are the Event IDs that get logged when the User Account is renamed.

•  Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: The name of an account was changed.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User Account was changed.

8. Create Local Group: Below are the Event IDs that get logged when the Local Group is created.

• Event ID: 4731 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was created

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

9. Add User to Local Group: Below is the Event ID that gets logged when the user gets added to the Local group.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group

10. Remove User from Local Group: Below is the Event ID that gets logged when the user is removed from the Local group.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group

11. Delete Local Group: Below is the Event ID that gets logged when the Local Group is deleted.

• Event ID: 4734 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was deleted

12. Rename Local Group: Below are the Event IDs that get logged when the Local Group is renamed.

• Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: A name of an account was changed

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

In this way, you can trace users with their activities. This article is applicable for Windows 11/10/8.1 in Workgroup Mode. For Active Directory Domain, the procedure will be different.

Related posts

• Automatyczne usuwanie starych profili użytkowników i plików w systemie Windows 11/10

• Jak dodać Edytor zasad grupy do systemu Windows 11/10 Home Edition?

• Jak włączyć lub wyłączyć długie ścieżki Win32 w systemie Windows 11/10?

• Jak wyłączyć opcję logowania za pomocą hasła obrazkowego w systemie Windows 11/10?

• Jak określić minimalną i maksymalną długość kodu PIN w systemie Windows 11/10?

• Jak włączyć tryb NVIDIA Low Latency w systemie Windows 11/10?

• Komputer z systemem Windows nie śpi; Tryb uśpienia nie działa w systemie Windows 11/10

• Zatrzymaj Windows 10 przed wstępnym ładowaniem Microsoft Edge podczas uruchamiania

• Jak sprawdzić zasady grupy zastosowane na komputerze z systemem Windows 10?

• Jak zablokować wszystkie ustawienia paska zadań w systemie Windows 10?

• Jak uniemożliwić użytkownikom usuwanie danych diagnostycznych w systemie Windows 11/10?

• Jak włączyć lub wyłączyć funkcję izolacji aplikacji w systemie Windows 10?

• Wyłącz wyświetlanie ostatnich wpisów wyszukiwania w Eksploratorze plików w systemie Windows 11/10

• Jak zastosować zasady grupy do osób niebędących administratorami tylko w systemie Windows 10?

• Błąd podczas otwierania Edytora lokalnych zasad grupy w systemie Windows 11/10

• Zmień dysk pamięci podręcznej optymalizacji dostarczania dla aktualizacji systemu Windows

• Usługa klienta zasad grupy nie powiodło się logowanie w systemie Windows 11/10

• Jak włączyć logowanie Instalatora Windows w systemie Windows 10?

• Ustaw domyślny obraz logowania użytkownika dla wszystkich użytkowników w systemie Windows 11/10

• Jak wyłączyć lub włączyć tryb samolotowy w systemie Windows 11/10?