Jak śledzić aktywność użytkownika w trybie grupy roboczej w systemie Windows 11/10?
Funkcjonalność wieloużytkownikowa w systemie Windows(Windows) umożliwiła nam wygodne korzystanie z niego w miejscach publicznych, takich jak szkoły, uczelnie, urzędy itp. W tych miejscach na ogół jest administrator, który potrafi na bieżąco śledzić poczynania pracujących tam użytkowników. Czasami użytkownicy przekraczają swoje granice i modyfikują konta skonfigurowane w trybie grupy roboczej(Workgroup) . Może to mieć wpływ na bezpieczeństwo, dlatego powinniśmy skonfigurować system Windows(Windows) do śledzenia działań użytkowników.
Konfigurując system Windows(Windows) do monitorowania działań użytkowników, możemy zwiększyć bezpieczeństwo administracji, a także ukarać ofiary, obserwując ich zapisy w przypadku przestępstwa. W tym artykule dowiesz się, jak śledzić działania użytkowników w Windows 11/10/8.1/8/7 za pomocą zasad audytu. Oto jak:
Śledź aktywność użytkownika(Track User Activity) za pomocą zasad audytu w trybie grupy roboczej(WorkGroup Mode)
1. Naciśnij kombinację Windows Key + Rsecpol.msc w oknie dialogowym Uruchom i naciśnij (Run)Enter , aby otworzyć Zasady zabezpieczeń lokalnych(Local Security Policy) .
2. W oknie Zasady zabezpieczeń lokalnych(Local Security Policy) rozwiń Ustawienia zabezpieczeń(Security Settings) > Zasady lokalne(Local Policies) > Zasady audytu(Audit Policy) . Teraz powinieneś upodobnić swoje okno do tego:
3. W prawym okienku można zobaczyć 9 zasad audytu…[] , które mają (Audit…[])Brak audytu(No auditing) jako wstępnie zdefiniowane(pre-defined) ustawienie zabezpieczeń. Kliknij(Click one) kolejno wszystkie zasady i wybierz opcję Sukces(Success) i Porażka(Failure) , kliknij Zastosuj( Apply) , a następnie OK dla każdej zasady.
W ten sposób skonfigurujemy system Windows(Windows) do śledzenia aktywności użytkownika.
Wykonaj następujące kroki, aby uzyskać prześledzone rekordy:
Śledź aktywność użytkownika za pomocą Podglądu zdarzeń(Trace User Activity Using Event Viewer)
1. Naciśnij kombinację Windows Key + Reventvwr w oknie dialogowym Uruchom i naciśnij (Run)Enter , aby otworzyć Podgląd zdarzeń(Event Viewer) .
2. Teraz w oknie Podgląd zdarzeń(Event Viewe) , z lewego panelu, wybierz Dzienniki Windows(Windows Logs) > Bezpieczeństwo(Security) . Tutaj Windows rejestruje każde zdarzenie dotyczące bezpieczeństwa.
3. W środkowym okienku kliknij dowolne wydarzenie, aby uzyskać jego informacje:
Oto lista identyfikatorów(IDs) zdarzeń, która obejmuje działania użytkowników dla kont w trybie grupy roboczej:
1. Utwórz użytkownika:(Create User:) Poniżej znajdują się identyfikatory zdarzeń(Event IDs) , które są rejestrowane podczas tworzenia użytkownika.
- Identyfikator zdarzenia:(Event ID: ) 4728 | Wpisz:(Type: ) Sukces audytu | Kategoria:(Category: ) Zarządzanie grupami bezpieczeństwa | Opis:(Description: ) członek został dodany do grupy globalnej z włączonymi zabezpieczeniami.
- Identyfikator zdarzenia:(Event ID: ) 4720 | Wpisz:(Type: ) Sukces audytu | Kategoria:(Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Utworzono konto użytkownika.
- Identyfikator zdarzenia:(Event ID: ) 4722 | Wpisz:(Type: ) Sukces audytu | Kategoria:(Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Konto użytkownika zostało włączone.
- Identyfikator zdarzenia:(Event ID: ) 4738 | Typ:(Type: ) Audyt sukcesu | Kategoria:(Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Konto użytkownika zostało zmienione.
- Identyfikator zdarzenia:(Event ID: ) 4732 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie grupami bezpieczeństwa | Opis:(Description: ) do grupy lokalnej z włączonymi zabezpieczeniami dodano członka.
2. Usuń użytkownika:(Delete User: ) Poniżej znajdują się identyfikatory zdarzeń(Event IDs) , które są rejestrowane po usunięciu użytkownika.
- Identyfikator zdarzenia:(Event ID: ) 4733 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie grupami bezpieczeństwa | Opis:(Description: ) członek został usunięty z grupy lokalnej z włączonymi zabezpieczeniami.
- Identyfikator zdarzenia:(Event ID: ) 4729 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie grupami bezpieczeństwa | Opis:(Description: ) członek został dodany do grupy globalnej z włączonymi zabezpieczeniami.
- Identyfikator zdarzenia:(Event ID: ) 4726 | Typ:( Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Konto użytkownika zostało usunięte.
3. Wyłączone konto użytkownika:(User Account Disabled: ) Poniżej znajdują się identyfikatory zdarzeń(Event IDs) , które są rejestrowane, gdy użytkownik jest wyłączony.
- Identyfikator zdarzenia:(Event ID: ) 4725 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Konto użytkownika zostało wyłączone.
- Identyfikator zdarzenia:(Event ID: ) 4738 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Konto użytkownika zostało zmienione.
4. Włączone konto użytkownika:(User Account Enabled: ) Poniżej znajdują się identyfikatory zdarzeń(Event IDs) , które są rejestrowane, gdy użytkownik jest włączony.
- Identyfikator zdarzenia:(Event ID: ) 4722 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Konto użytkownika zostało włączone.
- Identyfikator zdarzenia:(Event ID: ) 4738 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Konto użytkownika zostało zmienione.
5. Resetowanie hasła do konta użytkownika:(User Account Password Reset: ) Poniżej znajdują się identyfikatory zdarzeń(Event IDs) , które są rejestrowane po zresetowaniu hasła do konta użytkownika .(User Account Password)
- Identyfikator zdarzenia:(Event ID: ) 4738 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Konto użytkownika zostało zmienione.
- Identyfikator zdarzenia:(Event ID: ) 4724 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) podjęto próbę zresetowania hasła do konta.
6. Zestaw ścieżki profilu konta użytkownika: (User Account Profile Path Set: )Poniżej(Below) znajduje się identyfikator zdarzenia(Event ID) , który jest rejestrowany po ustawieniu ścieżki profilu(Profile Path) dla konta użytkownika.
- Identyfikator zdarzenia:(Event ID: ) 4738 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Konto użytkownika zostało zmienione.
7. Zmiana nazwy konta użytkownika:(User Account Rename: ) Poniżej znajdują się identyfikatory zdarzeń(Event IDs) , które są rejestrowane po zmianie nazwy konta użytkownika(User Account) .
- Identyfikator zdarzenia:(Event ID: ) 4781 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Zmieniono nazwę konta.
- Identyfikator zdarzenia:(Event ID: ) 4738 | Type: Audyt sukcesu | Kategoria: (Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Konto użytkownika zostało zmienione.
8. Utwórz grupę lokalną:(Create Local Group: ) Poniżej znajdują się identyfikatory zdarzeń(Event IDs) , które są rejestrowane podczas tworzenia grupy lokalnej(Local Group) .
- Identyfikator zdarzenia:(Event ID: ) 4731 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie grupami bezpieczeństwa | Opis:(Description: ) utworzono grupę lokalną z włączonymi zabezpieczeniami
- Identyfikator zdarzenia:(Event ID: ) 4735 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie grupami bezpieczeństwa | Opis:(Description: ) Zmieniono grupę lokalną z włączonymi zabezpieczeniami
9. Dodaj użytkownika do grupy lokalnej: (Add User to Local Group: )Poniżej(Below) znajduje się identyfikator zdarzenia(Event ID) , który jest rejestrowany, gdy użytkownik zostaje dodany do grupy lokalnej(Local) .
- Identyfikator zdarzenia:(Event ID: ) 4732 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie grupami bezpieczeństwa | Opis:(Description: ) dodano członka do grupy lokalnej z włączonymi zabezpieczeniami
10. Usuń użytkownika z grupy lokalnej: (Remove User from Local Group: )Poniżej(Below) znajduje się identyfikator zdarzenia(Event ID) , który jest rejestrowany po usunięciu użytkownika z grupy lokalnej(Local) .
- Identyfikator zdarzenia:(Event ID: ) 4733 | Typ:(Type:) Audyt sukcesu | Kategoria:(Category:) Zarządzanie grupami bezpieczeństwa | Opis:(Description:) członek został usunięty z grupy lokalnej z włączonymi zabezpieczeniami
11. Usuń grupę lokalną: (Delete Local Group: )Poniżej(Below) znajduje się identyfikator zdarzenia(Event ID) , który jest rejestrowany po usunięciu grupy lokalnej(Local Group) .
- Identyfikator zdarzenia:(Event ID: ) 4734 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie grupami bezpieczeństwa | Opis:(Description: ) Usunięto grupę lokalną z włączonymi zabezpieczeniami
12. Zmień nazwę grupy lokalnej:(Rename Local Group: ) Poniżej znajdują się identyfikatory zdarzeń(Event IDs) , które są rejestrowane po zmianie nazwy grupy lokalnej(Local Group) .
- Identyfikator zdarzenia:(Event ID: ) 4781 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Zmieniono nazwę konta
- Identyfikator zdarzenia:(Event ID: ) 4735 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie grupami bezpieczeństwa | Opis:(Description: ) Zmieniono grupę lokalną z włączonymi zabezpieczeniami
W ten sposób możesz śledzić użytkowników wraz z ich działaniami. Ten artykuł dotyczy Windows 11/10/8.1 w trybie grupy roboczej(Workgroup Mode) . W przypadku domeny(Directory Domain) Active Directory procedura będzie inna.
Related posts
Automatyczne usuwanie starych profili użytkowników i plików w systemie Windows 11/10
Jak dodać Edytor zasad grupy do systemu Windows 11/10 Home Edition?
Jak włączyć lub wyłączyć długie ścieżki Win32 w systemie Windows 11/10?
Jak wyłączyć opcję logowania za pomocą hasła obrazkowego w systemie Windows 11/10?
Jak określić minimalną i maksymalną długość kodu PIN w systemie Windows 11/10?
Jak włączyć tryb NVIDIA Low Latency w systemie Windows 11/10?
Komputer z systemem Windows nie śpi; Tryb uśpienia nie działa w systemie Windows 11/10
Zatrzymaj Windows 10 przed wstępnym ładowaniem Microsoft Edge podczas uruchamiania
Jak sprawdzić zasady grupy zastosowane na komputerze z systemem Windows 10?
Jak zablokować wszystkie ustawienia paska zadań w systemie Windows 10?
Jak uniemożliwić użytkownikom usuwanie danych diagnostycznych w systemie Windows 11/10?
Jak włączyć lub wyłączyć funkcję izolacji aplikacji w systemie Windows 10?
Wyłącz wyświetlanie ostatnich wpisów wyszukiwania w Eksploratorze plików w systemie Windows 11/10
Jak zastosować zasady grupy do osób niebędących administratorami tylko w systemie Windows 10?
Błąd podczas otwierania Edytora lokalnych zasad grupy w systemie Windows 11/10
Zmień dysk pamięci podręcznej optymalizacji dostarczania dla aktualizacji systemu Windows
Usługa klienta zasad grupy nie powiodło się logowanie w systemie Windows 11/10
Jak włączyć logowanie Instalatora Windows w systemie Windows 10?
Ustaw domyślny obraz logowania użytkownika dla wszystkich użytkowników w systemie Windows 11/10
Jak wyłączyć lub włączyć tryb samolotowy w systemie Windows 11/10?