Многопотребителската функционалност в Windows ни позволи да я използваме удобно на обществени места като училища, колежи, офиси и т.н. На тези места обикновено има администратор, който успява да следи дейностите на работещите в тях потребители. Понякога потребителите надхвърлят своите граници и променят акаунти, конфигурирани в режим на работна група^(Workgroup) . Това може да има последствия за сигурността и по този начин трябва да конфигурираме Windows да проследява потребителските дейности.

Чрез конфигуриране на Windows за наблюдение на активността на потребителите, ние можем да увеличим сигурността на администрацията и също така да накажем потребителите-жертви, като наблюдаваме техните записи в случай на нарушение. В тази статия ще ви кажем как да проследявате активностите на потребителите в Windows 11/10/8.1/8/7 с помощта на правилата за одит. Ето как:

Проследявайте активността на потребителите^{(Track User Activity)} с помощта на правилата за одит в режим на работна група^{(WorkGroup Mode)}

1. Натиснете комбинацията Windows Key + Rsecpol.msc в  диалоговия прозорец Run и натиснете ^(Run)Enter , за да отворите политиката за локална сигурност^{(Local Security Policy)} .

2. В прозореца Локална политика за сигурност^{(Local Security Policy)} разгънете Настройки^{(Security Settings)} за защита > Локални политики^{(Local Policies)} > Политика за одит^{(Audit Policy)} . Сега трябва да направите прозореца си подобен на този:

3. В десния панел можете да видите 9 политики за одит...[] нямат ^(Audit…[])одит^{(No auditing)} като предварително дефинирана^{(pre-defined)} настройка за сигурност. Щракнете една^{(Click one)} по една върху всички правила и направете избора на Успех^(Success) и неуспех^(Failure) , щракнете върху Приложи^{( Apply)} , последвано от OK за всяка политика.

По този начин ще сме конфигурирали Windows да проследява активността на потребителите.

Следвайте тези стъпки, за да получите проследените записи:

Проследяване на потребителска активност с помощта на Event Viewer^{(Trace User Activity Using Event Viewer)}

1. Натиснете комбинацията  Windows Key + Reventvwr в  диалоговия прозорец Run и натиснете ^(Run)Enter , за да отворите Event Viewer .

2. Сега, в прозореца Event Viewe r, от левия прозорец изберете Windows Logs > Security . Тук Windows съхранява запис на всяко събитие, свързано със сигурността.

3. От централния панел щракнете върху произволно събитие, за да получите информацията му:

Сега, ето списъкът с идентификаторите^(IDs) на събития , който обхваща дейностите на потребителите за акаунтите в режим на работна група:

1. Създаване на потребител:^{(Create User:)} По-долу са идентификаторите на събития^{(Event IDs)} , които се регистрират, когато потребителят е създаден.

• ID на събитието:^{(Event ID: )} 4728 | Тип:^{(Type: )} Успешен одит | Категория:^{(Category: )} Управление на групи за сигурност | Описание:^{(Description: )} Член беше добавен към глобална група с активирана сигурност.

• ID на събитието:^{(Event ID: )} 4720 | Тип:^{(Type: )} Успешен одит | Категория:^{(Category: )} Управление на потребителски акаунт | Описание:^{(Description: )} Създаден е потребителски акаунт.

• ID на събитието:^{(Event ID: )} 4722 | Тип:^{(Type: )} Успешен одит | Категория:^{(Category: )} Управление на потребителски акаунт | Описание:^{(Description: )} Потребителски акаунт беше активиран.

• ID на събитието:^{(Event ID: )} 4738 | Тип:^{(Type: )} Одит на успеха | Категория:^{(Category: )} Управление на потребителски акаунт | Описание:^{(Description: )} Потребителският акаунт е променен.

• ID на събитието:^{(Event ID: )} 4732 | Тип:^{(Type: )} Одит на успеха | Категория: ^{(Category: )} Управление на групи за сигурност | Описание:^{(Description: )} Член беше добавен към локална група с активирана защита.

2. Изтриване на потребител:^{(Delete User: )} По-долу са идентификаторите на събития^{(Event IDs)} , които се регистрират, когато потребителят бъде изтрит.

• ID на събитието:^{(Event ID: )} 4733 | Тип:^{(Type: )} Одит на успеха | Категория: ^{(Category: )} Управление на групи за сигурност | Описание:^{(Description: )} Член беше премахнат от локална група с активирана защита.

• ID на събитието:^{(Event ID: )} 4729 | Тип:^{(Type: )} Одит на успеха | Категория: ^{(Category: )} Управление на групи за сигурност | Описание:^{(Description: )} Член беше добавен към глобална група с активирана сигурност.

• ID на събитието:^{(Event ID: )} 4726 | Тип:^{( Type: )} Одит на успеха | Категория: ^{(Category: )} Управление на потребителски акаунт | Описание:^{(Description: )} Потребителски акаунт е изтрит.

3. Потребителският акаунт е деактивиран:^{(User Account Disabled: )} По-долу са идентификаторите на събития^{(Event IDs)} , които се регистрират, когато потребителят е деактивиран.

• ID на събитието:^{(Event ID: )} 4725 | Тип:^{(Type: )} Одит на успеха | Категория: ^{(Category: )} Управление на потребителски акаунт | Описание:^{(Description: )} Потребителски акаунт е деактивиран.

• ID на събитието:^{(Event ID: )} 4738 | Тип:^{(Type: )} Одит на успеха | Категория: ^{(Category: )} Управление на потребителски акаунт | Описание:^{(Description: )} Потребителският акаунт е променен.

4. Активиран потребителски акаунт:^{(User Account Enabled: )} По-долу са идентификаторите на събития^{(Event IDs)} , които се регистрират, когато потребителят е активиран.

• ID на събитието:^{(Event ID: )} 4722 | Тип:^{(Type: )} Одит на успеха | Категория: ^{(Category: )} Управление на потребителски акаунт | Описание:^{(Description: )} Потребителски акаунт беше активиран.

• ID на събитието:^{(Event ID: )} 4738 | Тип:^{(Type: )} Одит на успеха | Категория: ^{(Category: )} Управление на потребителски акаунт | Описание:^{(Description: )} Потребителският акаунт е променен.

5. Възстановяване на паролата за потребителски акаунт:^{(User Account Password Reset: )} По-долу са идентификаторите на събития^{(Event IDs)} , които се регистрират, когато паролата за потребителски акаунт^{(User Account Password)} бъде нулирана.

• ID на събитието:^{(Event ID: )} 4738 | Тип:^{(Type: )} Одит на успеха | Категория: ^{(Category: )} Управление на потребителски акаунт | Описание:^{(Description: )} Потребителският акаунт е променен.

• ID на събитието:^{(Event ID: )} 4724 | Тип:^{(Type: )} Одит на успеха | Категория: ^{(Category: )} Управление на потребителски акаунт | Описание:^{(Description: )} Беше направен опит за нулиране на паролата на акаунт.

6. Задаване на пътека към профила на потребителския акаунт: ^{(User Account Profile Path Set: )}По-долу^(Below) е идентификационният номер на събитието^{(Event ID)} , който се регистрира, когато Пътят на профила^{(Profile Path)} се задава за потребителски акаунт.

• ID на събитието:^{(Event ID: )} 4738 | Тип:^{(Type: )} Одит на успеха | Категория: ^{(Category: )} Управление на потребителски акаунт | Описание:^{(Description: )} Потребителският акаунт е променен.

7. Преименуване на потребителски акаунт:^{(User Account Rename: )} По-долу са идентификаторите на събития^{(Event IDs)} , които се регистрират при преименуване на потребителския акаунт .^{(User Account)}

•  ID на събитието:^{(Event ID: )} 4781 | Тип:^{(Type: )} Одит на успеха | Категория: ^{(Category: )} Управление на потребителски акаунт | Описание:^{(Description: )} Името на акаунт е променено.

• ID на събитието:^{(Event ID: )} 4738 | Type: Одит на успеха | Категория: ^{(Category: )} Управление на потребителски акаунт | Описание:^{(Description: )} Потребителският акаунт е променен.

8. Създаване на локална група:^{(Create Local Group: )} По-долу са идентификаторите на събития^{(Event IDs)} , които се регистрират при създаването на локалната група^{(Local Group)} .

• ID на събитието:^{(Event ID: )} 4731 | Тип:^{(Type: )} Одит на успеха | Категория: ^{(Category: )} Управление на групи за сигурност | Описание:^{(Description: )} Създадена е локална група с активирана защита

• ID на събитието:^{(Event ID: )} 4735 | Тип:^{(Type: )} Одит на успеха | Категория: ^{(Category: )} Управление на групи за сигурност | Описание:^{(Description: )} Променена е локална група с активирана защита

9. Добавяне на потребител към локална група: ^{(Add User to Local Group: )}По-долу^(Below) е идентификаторът на събитието^{(Event ID)} , който се регистрира, когато потребителят бъде добавен към локалната^(Local) група.

• ID на събитието:^{(Event ID: )} 4732 | Тип:^{(Type: )} Одит на успеха | Категория: ^{(Category: )} Управление на групи за сигурност | Описание:^{(Description: )} Член беше добавен към локална група с активирана защита

10. Премахване на потребител от локална група: ^{(Remove User from Local Group: )}По-долу^(Below) е  идентификаторът на събитието^{(Event ID)} , който се регистрира, когато потребителят бъде премахнат от локалната^(Local) група.

• ID на събитието:^{(Event ID: )} 4733 | Тип:^(Type:) Одит на успеха | Категория:^(Category:)  Управление на групи за сигурност | Описание:^{(Description:)} Член беше премахнат от локална група с активирана защита

11. Изтриване на локална група: ^{(Delete Local Group: )}По-долу^(Below) е идентификаторът на събитието^{(Event ID)} , който се регистрира, когато локалната група^{(Local Group)} бъде изтрита.

• ID на събитието:^{(Event ID: )} 4734 | Тип:^{(Type: )} Одит на успеха | Категория: ^{(Category: )} Управление на групи за сигурност | Описание:^{(Description: )} Изтрита е локална група с активирана защита

12. Преименуване на локална група:^{(Rename Local Group: )} По-долу са идентификаторите на събития^{(Event IDs)} , които се регистрират при преименуване на локалната група .^{(Local Group)}

• ID на събитието:^{(Event ID: )} 4781 | Тип:^{(Type: )} Одит на успеха | Категория: ^{(Category: )} Управление на потребителски акаунт | Описание:^{(Description: )} Името на акаунт е променено

• ID на събитието:^{(Event ID: )} 4735 | Тип:^{(Type: )} Одит на успеха | Категория: ^{(Category: )} Управление на групи за сигурност | Описание:^{(Description: )} Променена е локална група с активирана защита

По този начин можете да проследите потребителите с техните дейности. Тази статия е приложима за Windows 11/10/8.1 в режим на работна група^{(Workgroup Mode)} . За домейн на Active Directory^{(Directory Domain)} процедурата ще бъде различна.

How to track User Activity in WorkGroup Mode on Windows 11/10

Multi-user functionality in Windows has enabled us to use it conveniently in public places like schools, colleges, offices, etc. At these places, there is generally an administrator, who manages to keep an eye on the activities of users working therein. Sometimes, users go beyond their limits and modify accounts configured in Workgroup mode. This can have security repercussions, and thus we should configure Windows to track down user activities.

By configuring Windows for monitoring user activities, we can increase the security of the administration and can also punish the victim users by observing their records in case of an offense. In this article, we’ll tell you the way to track user activities in Windows 11/10/8.1/8/7 using Audit Policy. Here is how:

Track User Activity using Audit Policy in WorkGroup Mode

1. Press Windows Key + R combination, type put secpol.msc in Run dialog box and hit Enter to open the Local Security Policy.

2. In the Local Security Policy window, expand Security Settings > Local Policies > Audit Policy. Now you should get your window resembled with this one:

3. In the right pane, you can see 9 Audit…[] policies have No auditing as pre-defined security setting. Click one by one all the policies and make the selection to Success and Failure, click Apply followed by OK for each policy.

In this way, we will have configured Windows to track down user activity.

Follow these steps to get the traced records:

Trace User Activity Using Event Viewer

1. Press Windows Key + R combination, type put eventvwr in Run dialog box and hit Enter to open the Event Viewer.

2. Now, in the Event Viewer window, from the left pane, select Windows Logs > Security. Here Windows keeps a record of every event concerning security.

3. From the center pane, click any event to get its info:

Now, here is the list of the event IDs which covers the user activities for the accounts in the workgroup mode:

1. Create User: Below are the Event IDs that get logged when the user is created.

• Event ID: 4728 | Type: Audit Success | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4720 | Type: Audit Success | Category: User Account Management | Description: A User account was created.

• Event ID: 4722 | Type: Audit Success | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group.

2. Delete User: Below are the Event IDs that get logged when the user is deleted.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group.

• Event ID: 4729 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4726 | Type: Success Audit | Category: User Account Management | Description: A User account was deleted.

3. User Account Disabled: Below are the Event IDs that get logged when the user is disabled.

• Event ID: 4725 | Type: Success Audit | Category: User Account Management | Description: A User account was disabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

4. User Account Enabled: Below are the Event IDs that get logged when the user is enabled.

• Event ID: 4722 | Type: Success Audit | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

5. User Account Password Reset: Below are the Event IDs that get logged when the User Account Password gets reset.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4724 | Type: Success Audit | Category: User Account Management | Description: An attempt was made to reset an account’s password.

6. User Account Profile Path Set: Below is the Event ID that gets logged when Profile Path gets set for a user account.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

7. User Account Rename: Below are the Event IDs that get logged when the User Account is renamed.

•  Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: The name of an account was changed.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User Account was changed.

8. Create Local Group: Below are the Event IDs that get logged when the Local Group is created.

• Event ID: 4731 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was created

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

9. Add User to Local Group: Below is the Event ID that gets logged when the user gets added to the Local group.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group

10. Remove User from Local Group: Below is the Event ID that gets logged when the user is removed from the Local group.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group

11. Delete Local Group: Below is the Event ID that gets logged when the Local Group is deleted.

• Event ID: 4734 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was deleted

12. Rename Local Group: Below are the Event IDs that get logged when the Local Group is renamed.

• Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: A name of an account was changed

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

In this way, you can trace users with their activities. This article is applicable for Windows 11/10/8.1 in Workgroup Mode. For Active Directory Domain, the procedure will be different.

Related posts

• Изтривайте старите потребителски профили и файлове автоматично в Windows 11/10

• Как да добавите редактор на групови правила към Windows 11/10 Home Edition

• Как да активирате или деактивирате Win32 Long Paths в Windows 11/10

• Как да деактивирате опцията за влизане с парола за снимки в Windows 11/10

• Как да посочите минимална и максимална дължина на ПИН кода в Windows 11/10

• Грешка, когато отворите редактора на локални групови правила в Windows 11/10

• Как да активирате или деактивирате оптимизацията за бързо влизане в Windows 11/10

• Компютърът с Windows не спи; Спящият режим не работи в Windows 11/10

• Ограничете настройката за резервирана честотна лента в Windows 11/10

• Достъп до управление на локални потребители и групи в Windows 11/10 Home

• Как да инсталирате редактора на групови правила (gpedit.msc)

• Как да създадете локален потребителски акаунт с помощта на PowerShell в Windows 11/10

• Как да проследявате компютърна и потребителска активност с Windows

• Как да посочите краен срок преди автоматично рестартиране за инсталиране на актуализация

• Деактивирайте оптимизацията на доставката чрез групови правила или редактор на системния регистър

• Импортиране, експортиране, поправка, възстановяване на правилата на защитната стена по подразбиране в Windows 11/10

• Как да приложите многослойни групови правила в Windows 11/10

• Как да заключите всички настройки на лентата на задачите в Windows 10

• Как да активирате или деактивирате функцията за изолиране на приложения в Windows 10

• Фоновата групова политика на работния плот не се прилага в Windows 11/10