Jak śledzić aktywność użytkownika w trybie grupy roboczej w systemie Windows 11/10?

Funkcjonalność wieloużytkownikowa w systemie Windows(Windows) umożliwiła nam wygodne korzystanie z niego w miejscach publicznych, takich jak szkoły, uczelnie, urzędy itp. W tych miejscach na ogół jest administrator, który potrafi na bieżąco śledzić poczynania pracujących tam użytkowników. Czasami użytkownicy przekraczają swoje granice i modyfikują konta skonfigurowane w trybie grupy roboczej(Workgroup) . Może to mieć wpływ na bezpieczeństwo, dlatego powinniśmy skonfigurować system Windows(Windows) do śledzenia działań użytkowników.

Konfigurując system Windows(Windows) do monitorowania działań użytkowników, możemy zwiększyć bezpieczeństwo administracji, a także ukarać ofiary, obserwując ich zapisy w przypadku przestępstwa. W tym artykule dowiesz się, jak śledzić działania użytkowników w Windows 11/10/8.1/8/7 za pomocą zasad audytu. Oto jak:

Śledź aktywność użytkownika(Track User Activity) za pomocą zasad audytu w trybie grupy roboczej(WorkGroup Mode)

1. Naciśnij kombinację Windows Key + Rsecpol.msc w  oknie dialogowym Uruchom i naciśnij (Run)Enter , aby otworzyć Zasady zabezpieczeń lokalnych(Local Security Policy) .

Śledź czynności użytkownika w systemie Windows 8.1 w trybie grupy roboczej

2. W oknie Zasady zabezpieczeń lokalnych(Local Security Policy) rozwiń Ustawienia zabezpieczeń(Security Settings) > Zasady lokalne(Local Policies) > Zasady audytu(Audit Policy) . Teraz powinieneś upodobnić swoje okno do tego:

Śledź aktywności użytkowników w systemie Windows 8.1 w trybie grupy roboczej 2

3. W prawym okienku można zobaczyć 9 zasad audytu…[] , które mają (Audit…[])Brak audytu(No auditing) jako wstępnie zdefiniowane(pre-defined) ustawienie zabezpieczeń. Kliknij(Click one) kolejno wszystkie zasady i wybierz opcję Sukces(Success) i Porażka(Failure) , kliknij Zastosuj( Apply) , a następnie OK dla każdej zasady.

Śledź-działania-użytkowników-w-Windows-8.1-w-trybie grupy roboczej-3

W ten sposób skonfigurujemy system Windows(Windows) do śledzenia aktywności użytkownika.

Wykonaj następujące kroki, aby uzyskać prześledzone rekordy:

Śledź aktywność użytkownika za pomocą Podglądu zdarzeń(Trace User Activity Using Event Viewer)

1. Naciśnij kombinację  Windows Key + Reventvwr w  oknie dialogowym Uruchom i naciśnij (Run)Enter , aby otworzyć Podgląd zdarzeń(Event Viewer) .

Śledź aktywności użytkowników w systemie Windows 8.1 w trybie grupy roboczej 4

2. Teraz w oknie Podgląd zdarzeń(Event Viewe) , z lewego panelu, wybierz Dzienniki Windows(Windows Logs) > Bezpieczeństwo(Security) . Tutaj Windows rejestruje każde zdarzenie dotyczące bezpieczeństwa.

Śledź aktywności użytkowników w systemie Windows 8.1 w trybie grupy roboczej-5

3. W środkowym okienku kliknij dowolne wydarzenie, aby uzyskać jego informacje:

Śledź-działania-użytkownika-w-Windows-8.1-w-trybie grupy roboczej-6

Oto lista identyfikatorów(IDs) zdarzeń, która obejmuje działania użytkowników dla kont w trybie grupy roboczej:

1. Utwórz użytkownika:(Create User:) Poniżej znajdują się identyfikatory zdarzeń(Event IDs) , które są rejestrowane podczas tworzenia użytkownika.

  • Identyfikator zdarzenia:(Event ID: ) 4728 | Wpisz:(Type: ) Sukces audytu | Kategoria:(Category: ) Zarządzanie grupami bezpieczeństwa | Opis:(Description: ) członek został dodany do grupy globalnej z włączonymi zabezpieczeniami.
  • Identyfikator zdarzenia:(Event ID: ) 4720 | Wpisz:(Type: ) Sukces audytu | Kategoria:(Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Utworzono konto użytkownika.
  • Identyfikator zdarzenia:(Event ID: ) 4722 | Wpisz:(Type: ) Sukces audytu | Kategoria:(Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Konto użytkownika zostało włączone.
  • Identyfikator zdarzenia:(Event ID: ) 4738 | Typ:(Type: ) Audyt sukcesu | Kategoria:(Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Konto użytkownika zostało zmienione.
  • Identyfikator zdarzenia:(Event ID: ) 4732 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie grupami bezpieczeństwa | Opis:(Description: ) do grupy lokalnej z włączonymi zabezpieczeniami dodano członka.

2. Usuń użytkownika:(Delete User: ) Poniżej znajdują się identyfikatory zdarzeń(Event IDs) , które są rejestrowane po usunięciu użytkownika.

  • Identyfikator zdarzenia:(Event ID: ) 4733 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie grupami bezpieczeństwa | Opis:(Description: ) członek został usunięty z grupy lokalnej z włączonymi zabezpieczeniami.
  • Identyfikator zdarzenia:(Event ID: ) 4729 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie grupami bezpieczeństwa | Opis:(Description: ) członek został dodany do grupy globalnej z włączonymi zabezpieczeniami.
  • Identyfikator zdarzenia:(Event ID: ) 4726 | Typ:( Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Konto użytkownika zostało usunięte.

3. Wyłączone konto użytkownika:(User Account Disabled: ) Poniżej znajdują się identyfikatory zdarzeń(Event IDs) , które są rejestrowane, gdy użytkownik jest wyłączony.

  • Identyfikator zdarzenia:(Event ID: ) 4725 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Konto użytkownika zostało wyłączone.
  • Identyfikator zdarzenia:(Event ID: ) 4738 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Konto użytkownika zostało zmienione.

4. Włączone konto użytkownika:(User Account Enabled: ) Poniżej znajdują się identyfikatory zdarzeń(Event IDs) , które są rejestrowane, gdy użytkownik jest włączony.

  • Identyfikator zdarzenia:(Event ID: ) 4722 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Konto użytkownika zostało włączone.
  • Identyfikator zdarzenia:(Event ID: ) 4738 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Konto użytkownika zostało zmienione.

5. Resetowanie hasła do konta użytkownika:(User Account Password Reset: ) Poniżej znajdują się identyfikatory zdarzeń(Event IDs) , które są rejestrowane po zresetowaniu hasła do konta użytkownika .(User Account Password)

  • Identyfikator zdarzenia:(Event ID: ) 4738 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Konto użytkownika zostało zmienione.
  • Identyfikator zdarzenia:(Event ID: ) 4724 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) podjęto próbę zresetowania hasła do konta.

6. Zestaw ścieżki profilu konta użytkownika: (User Account Profile Path Set: )Poniżej(Below) znajduje się identyfikator zdarzenia(Event ID) , który jest rejestrowany po ustawieniu ścieżki profilu(Profile Path) dla konta użytkownika.

  • Identyfikator zdarzenia:(Event ID: ) 4738 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Konto użytkownika zostało zmienione.

7. Zmiana nazwy konta użytkownika:(User Account Rename: ) Poniżej znajdują się identyfikatory zdarzeń(Event IDs) , które są rejestrowane po zmianie nazwy konta użytkownika(User Account) .

  •  Identyfikator zdarzenia:(Event ID: ) 4781 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Zmieniono nazwę konta.
  • Identyfikator zdarzenia:(Event ID: ) 4738 | Type: Audyt sukcesu | Kategoria: (Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Konto użytkownika zostało zmienione.

8. Utwórz grupę lokalną:(Create Local Group: ) Poniżej znajdują się identyfikatory zdarzeń(Event IDs) , które są rejestrowane podczas tworzenia grupy lokalnej(Local Group) .

  • Identyfikator zdarzenia:(Event ID: ) 4731 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie grupami bezpieczeństwa | Opis:(Description: ) utworzono grupę lokalną z włączonymi zabezpieczeniami
  • Identyfikator zdarzenia:(Event ID: ) 4735 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie grupami bezpieczeństwa | Opis:(Description: ) Zmieniono grupę lokalną z włączonymi zabezpieczeniami

9. Dodaj użytkownika do grupy lokalnej: (Add User to Local Group: )Poniżej(Below) znajduje się identyfikator zdarzenia(Event ID) , który jest rejestrowany, gdy użytkownik zostaje dodany do grupy lokalnej(Local) .

  • Identyfikator zdarzenia:(Event ID: ) 4732 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie grupami bezpieczeństwa | Opis:(Description: ) dodano członka do grupy lokalnej z włączonymi zabezpieczeniami

10. Usuń użytkownika z grupy lokalnej: (Remove User from Local Group: )Poniżej(Below) znajduje się  identyfikator zdarzenia(Event ID) , który jest rejestrowany po usunięciu użytkownika z grupy lokalnej(Local) .

  • Identyfikator zdarzenia:(Event ID: ) 4733 | Typ:(Type:) Audyt sukcesu | Kategoria:(Category:)  Zarządzanie grupami bezpieczeństwa | Opis:(Description:) członek został usunięty z grupy lokalnej z włączonymi zabezpieczeniami

11. Usuń grupę lokalną: (Delete Local Group: )Poniżej(Below) znajduje się identyfikator zdarzenia(Event ID) , który jest rejestrowany po usunięciu grupy lokalnej(Local Group) .

  • Identyfikator zdarzenia:(Event ID: ) 4734 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie grupami bezpieczeństwa | Opis:(Description: ) Usunięto grupę lokalną z włączonymi zabezpieczeniami

12. Zmień nazwę grupy lokalnej:(Rename Local Group: ) Poniżej znajdują się identyfikatory zdarzeń(Event IDs) , które są rejestrowane po zmianie nazwy grupy lokalnej(Local Group) .

  • Identyfikator zdarzenia:(Event ID: ) 4781 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie kontem użytkownika | Opis:(Description: ) Zmieniono nazwę konta
  • Identyfikator zdarzenia:(Event ID: ) 4735 | Typ:(Type: ) Audyt sukcesu | Kategoria: (Category: ) Zarządzanie grupami bezpieczeństwa | Opis:(Description: ) Zmieniono grupę lokalną z włączonymi zabezpieczeniami

W ten sposób możesz śledzić użytkowników wraz z ich działaniami. Ten artykuł dotyczy Windows 11/10/8.1 w trybie grupy roboczej(Workgroup Mode) . W przypadku domeny(Directory Domain) Active Directory procedura będzie inna.



About the author

Jestem inżynierem oprogramowania z ponad 10-letnim doświadczeniem na platformach Windows 11 i 10. Skupiam się na tworzeniu i utrzymywaniu wysokiej jakości oprogramowania zarówno dla Windows 7, jak i Windows 8. Pracowałem również nad wieloma innymi projektami, w tym między innymi Chrome, Firefox, Xbox One i plikami.



Related posts