Funkcionalita pre viacerých používateľov v systéme Windows^(Windows) nám umožnila pohodlne ju používať na verejných miestach, ako sú školy, vysoké školy, úrady atď. Na týchto miestach je spravidla správca, ktorý má na starosti dohľad nad činnosťou používateľov, ktorí v nich pracujú. Používatelia niekedy prekročia svoje limity a upravia účty nakonfigurované v režime pracovnej skupiny . ^(Workgroup)To môže mať dôsledky na bezpečnosť, a preto by sme mali nakonfigurovať systém Windows^(Windows) na sledovanie aktivít používateľov.

Konfiguráciou systému Windows^(Windows) na monitorovanie používateľských aktivít môžeme zvýšiť bezpečnosť administrácie a tiež môžeme v prípade priestupku potrestať poškodených používateľov sledovaním ich záznamov. V tomto článku vám povieme, ako sledovať aktivity používateľov v Windows 11/10/8.1/8/7 pomocou zásad auditu. Tu je postup:

Sledujte aktivitu^{(Track User Activity)} používateľa pomocou politiky auditu v režime pracovnej skupiny^{(WorkGroup Mode)}

1. Stlačte kombináciu Windows Key + R , do dialógového okna Spustiť^(Run) napíšte put secpol.msc  a stlačením klávesu Enter^(Enter) otvorte Miestnu bezpečnostnú politiku^{(Local Security Policy)} .

2. V okne Miestna bezpečnostná politika^{(Local Security Policy)} rozviňte Nastavenia zabezpečenia^{(Security Settings)} > Miestne zásady^{(Local Policies)} > Politika auditu^{(Audit Policy)} . Teraz by ste mali mať vaše okno podobné tomuto:

3. V pravej časti okna môžete vidieť, že 9 politík Audit…[] má ako preddefinované nastavenie zabezpečenia možnosť ^{(pre-defined)}Bez auditovania^{(No auditing)} . Postupne kliknite^{(Click one)} na všetky zásady a vyberte možnosť Úspech^(Success) a neúspech^(Failure) , kliknite na tlačidlo Použiť^{( Apply)} a potom na tlačidlo OK^(OK) pre každú politiku.

Týmto spôsobom budeme mať nakonfigurovaný systém Windows^(Windows) na sledovanie aktivity používateľov.

Ak chcete získať sledované záznamy, postupujte podľa týchto krokov:

Sledujte aktivitu používateľa pomocou prehliadača udalostí^{(Trace User Activity Using Event Viewer)}

1. Stlačte kombináciu Windows Key + R , do dialógového okna Spustiť^(Run) zadajte put  eventvwr  a stlačením klávesu Enter^(Enter) otvorte Zobrazovač udalostí^{(Event Viewer)} .

2. Teraz v okne Zobrazovač udalostí^{(Event Viewe)} na ľavej table vyberte položku Denníky systému Windows^{(Windows Logs)} > Zabezpečenie^(Security) . Systém Windows tu vedie záznamy o každej udalosti týkajúcej sa zabezpečenia.

3. V strednom paneli kliknite na ľubovoľnú udalosť, aby ste získali jej informácie:

Teraz je tu zoznam ID^(IDs) udalostí , ktoré pokrývajú aktivity používateľov pre účty v režime pracovnej skupiny:

1. Vytvorenie používateľa:^{(Create User:)} Nižšie sú uvedené ID udalostí^{(Event IDs)} , ktoré sa zaznamenajú pri vytvorení používateľa.

• ID udalosti:^{(Event ID: )} 4728 | Typ:^{(Type: )} Úspešný audit | Kategória:^{(Category: )} Správa bezpečnostných skupín | Popis:^{(Description: )} Člen bol pridaný do globálnej skupiny s povoleným zabezpečením.

• ID udalosti:^{(Event ID: )} 4720 | Typ:^{(Type: )} Úspešný audit | Kategória:^{(Category: )} Správa používateľských účtov | Popis:^{(Description: )} Bol vytvorený používateľský účet.

• ID udalosti:^{(Event ID: )} 4722 | Typ:^{(Type: )} Úspešný audit | Kategória:^{(Category: )} Správa používateľských účtov | Popis:^{(Description: )} Používateľský účet bol povolený.

• ID udalosti:^{(Event ID: )} 4738 | Typ:^{(Type: )} Audit úspechu | Kategória:^{(Category: )} Správa používateľských účtov | Popis:^{(Description: )} Používateľský účet bol zmenený.

• ID udalosti:^{(Event ID: )} 4732 | Typ:^{(Type: )} Audit úspechu | Kategória: ^{(Category: )} Správa bezpečnostných skupín | Popis:^{(Description: )} Do lokálnej skupiny s povoleným zabezpečením bol pridaný člen.

2. Odstrániť používateľa:^{(Delete User: )} Nižšie sú uvedené ID udalostí^{(Event IDs)} , ktoré sa zaznamenajú, keď je používateľ odstránený.

• ID udalosti:^{(Event ID: )} 4733 | Typ:^{(Type: )} Audit úspechu | Kategória: ^{(Category: )} Správa bezpečnostných skupín | Popis:^{(Description: )} Člen bol odstránený z lokálnej skupiny s povoleným zabezpečením.

• ID udalosti:^{(Event ID: )} 4729 | Typ:^{(Type: )} Audit úspechu | Kategória: ^{(Category: )} Správa bezpečnostných skupín | Popis:^{(Description: )} Člen bol pridaný do globálnej skupiny s povoleným zabezpečením.

• ID udalosti:^{(Event ID: )} 4726 | Typ:^{( Type: )} Audit úspechu | Kategória: ^{(Category: )} Správa používateľských účtov | Popis:^{(Description: )} Používateľský účet bol odstránený.

3. Používateľský účet zakázaný:^{(User Account Disabled: )} Nižšie sú uvedené ID udalostí^{(Event IDs)} , ktoré sa zaznamenajú, keď je používateľ zakázaný.

• ID udalosti:^{(Event ID: )} 4725 | Typ:^{(Type: )} Audit úspechu | Kategória: ^{(Category: )} Správa používateľských účtov | Popis:^{(Description: )} Používateľský účet bol zakázaný.

• ID udalosti:^{(Event ID: )} 4738 | Typ:^{(Type: )} Audit úspechu | Kategória: ^{(Category: )} Správa používateľských účtov | Popis:^{(Description: )} Používateľský účet bol zmenený.

4. Používateľské konto povolené:^{(User Account Enabled: )} Nižšie sú uvedené ID udalostí^{(Event IDs)} , ktoré sa zaznamenajú, keď je používateľ povolený.

• ID udalosti:^{(Event ID: )} 4722 | Typ:^{(Type: )} Audit úspechu | Kategória: ^{(Category: )} Správa používateľských účtov | Popis:^{(Description: )} Používateľský účet bol povolený.

• ID udalosti:^{(Event ID: )} 4738 | Typ:^{(Type: )} Audit úspechu | Kategória: ^{(Category: )} Správa používateľských účtov | Popis:^{(Description: )} Používateľský účet bol zmenený.

5. Obnovenie hesla používateľského účtu:^{(User Account Password Reset: )} Nižšie sú uvedené ID udalostí^{(Event IDs)} , ktoré sa zaznamenajú, keď sa heslo používateľského účtu^{(User Account Password)} resetuje.

• ID udalosti:^{(Event ID: )} 4738 | Typ:^{(Type: )} Audit úspechu | Kategória: ^{(Category: )} Správa používateľských účtov | Popis:^{(Description: )} Používateľský účet bol zmenený.

• ID udalosti:^{(Event ID: )} 4724 | Typ:^{(Type: )} Audit úspechu | Kategória: ^{(Category: )} Správa používateľských účtov | Popis:^{(Description: )} Uskutočnil sa pokus o obnovenie hesla účtu.

6. Nastavenie cesty profilu používateľského účtu: ^{(User Account Profile Path Set: )}Nižšie^(Below) je uvedené ID udalosti^{(Event ID)} , ktoré sa zaznamená, keď sa cesta k profilu^{(Profile Path)} nastaví pre používateľský účet.

• ID udalosti:^{(Event ID: )} 4738 | Typ:^{(Type: )} Audit úspechu | Kategória: ^{(Category: )} Správa používateľských účtov | Popis:^{(Description: )} Používateľský účet bol zmenený.

7. Premenovanie používateľského účtu:^{(User Account Rename: )} Nižšie sú uvedené ID udalostí^{(Event IDs)} , ktoré sa zaznamenajú pri premenovaní používateľského konta .^{(User Account)}

•  ID udalosti:^{(Event ID: )} 4781 | Typ:^{(Type: )} Audit úspechu | Kategória: ^{(Category: )} Správa používateľských účtov | Popis:^{(Description: )} Názov účtu bol zmenený.

• ID udalosti:^{(Event ID: )} 4738 | Type: Audit úspechu | Kategória: ^{(Category: )} Správa používateľských účtov | Popis:^{(Description: )} Používateľský účet bol zmenený.

8. Vytvorenie lokálnej skupiny:^{(Create Local Group: )} Nižšie sú uvedené ID udalostí^{(Event IDs)} , ktoré sa zaznamenajú pri vytvorení lokálnej skupiny^{(Local Group)} .

• ID udalosti:^{(Event ID: )} 4731 | Typ:^{(Type: )} Audit úspechu | Kategória: ^{(Category: )} Správa bezpečnostných skupín | Popis:^{(Description: )} Bola vytvorená lokálna skupina s povoleným zabezpečením

• ID udalosti:^{(Event ID: )} 4735 | Typ:^{(Type: )} Audit úspechu | Kategória: ^{(Category: )} Správa bezpečnostných skupín | Popis:^{(Description: )} Lokálna skupina s povoleným zabezpečením bola zmenená

9. Pridať používateľa do miestnej skupiny: ^{(Add User to Local Group: )}Nižšie^(Below) je uvedené ID udalosti^{(Event ID)} , ktoré sa zaznamená, keď sa používateľ pridá do miestnej^(Local) skupiny.

• ID udalosti:^{(Event ID: )} 4732 | Typ:^{(Type: )} Audit úspechu | Kategória: ^{(Category: )} Správa bezpečnostných skupín | Popis:^{(Description: )} Do lokálnej skupiny s povoleným zabezpečením bol pridaný člen

10. Odstrániť používateľa z miestnej skupiny: ^{(Remove User from Local Group: )}Nižšie^(Below) je uvedené  ID udalosti^{(Event ID)} , ktoré sa zaznamená, keď je používateľ odstránený z miestnej^(Local) skupiny.

• ID udalosti:^{(Event ID: )} 4733 | Typ:^(Type:) Audit úspechu | Kategória:^(Category:)  Správa bezpečnostných skupín | Popis:^{(Description:)} Člen bol odstránený z lokálnej skupiny s povoleným zabezpečením

11. Vymazať lokálnu skupinu: ^{(Delete Local Group: )}Nižšie^(Below) je uvedené ID udalosti^{(Event ID)} , ktoré sa zaznamená, keď sa lokálna skupina^{(Local Group)} vymaže.

• ID udalosti:^{(Event ID: )} 4734 | Typ:^{(Type: )} Audit úspechu | Kategória: ^{(Category: )} Správa bezpečnostných skupín | Popis:^{(Description: )} Lokálna skupina s povoleným zabezpečením bola odstránená

12. Premenovanie miestnej skupiny:^{(Rename Local Group: )} Nižšie sú uvedené ID udalostí^{(Event IDs)} , ktoré sa zaznamenajú pri premenovaní miestnej skupiny^{(Local Group)} .

• ID udalosti:^{(Event ID: )} 4781 | Typ:^{(Type: )} Audit úspechu | Kategória: ^{(Category: )} Správa používateľských účtov | Popis:^{(Description: )} Názov účtu bol zmenený

• ID udalosti:^{(Event ID: )} 4735 | Typ:^{(Type: )} Audit úspechu | Kategória: ^{(Category: )} Správa bezpečnostných skupín | Popis:^{(Description: )} Lokálna skupina s povoleným zabezpečením bola zmenená

Týmto spôsobom môžete sledovať používateľov s ich aktivitami. Tento článok platí pre Windows 11/10/8.1 v režime pracovnej skupiny^{(Workgroup Mode)} . Pre doménu Active Directory^{(Directory Domain)} bude postup odlišný.

How to track User Activity in WorkGroup Mode on Windows 11/10

Multi-user functionality in Windows has enabled us to use it conveniently in public places like schools, colleges, offices, etc. At these places, there is generally an administrator, who manages to keep an eye on the activities of users working therein. Sometimes, users go beyond their limits and modify accounts configured in Workgroup mode. This can have security repercussions, and thus we should configure Windows to track down user activities.

By configuring Windows for monitoring user activities, we can increase the security of the administration and can also punish the victim users by observing their records in case of an offense. In this article, we’ll tell you the way to track user activities in Windows 11/10/8.1/8/7 using Audit Policy. Here is how:

Track User Activity using Audit Policy in WorkGroup Mode

1. Press Windows Key + R combination, type put secpol.msc in Run dialog box and hit Enter to open the Local Security Policy.

2. In the Local Security Policy window, expand Security Settings > Local Policies > Audit Policy. Now you should get your window resembled with this one:

3. In the right pane, you can see 9 Audit…[] policies have No auditing as pre-defined security setting. Click one by one all the policies and make the selection to Success and Failure, click Apply followed by OK for each policy.

In this way, we will have configured Windows to track down user activity.

Follow these steps to get the traced records:

Trace User Activity Using Event Viewer

1. Press Windows Key + R combination, type put eventvwr in Run dialog box and hit Enter to open the Event Viewer.

2. Now, in the Event Viewer window, from the left pane, select Windows Logs > Security. Here Windows keeps a record of every event concerning security.

3. From the center pane, click any event to get its info:

Now, here is the list of the event IDs which covers the user activities for the accounts in the workgroup mode:

1. Create User: Below are the Event IDs that get logged when the user is created.

• Event ID: 4728 | Type: Audit Success | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4720 | Type: Audit Success | Category: User Account Management | Description: A User account was created.

• Event ID: 4722 | Type: Audit Success | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group.

2. Delete User: Below are the Event IDs that get logged when the user is deleted.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group.

• Event ID: 4729 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4726 | Type: Success Audit | Category: User Account Management | Description: A User account was deleted.

3. User Account Disabled: Below are the Event IDs that get logged when the user is disabled.

• Event ID: 4725 | Type: Success Audit | Category: User Account Management | Description: A User account was disabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

4. User Account Enabled: Below are the Event IDs that get logged when the user is enabled.

• Event ID: 4722 | Type: Success Audit | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

5. User Account Password Reset: Below are the Event IDs that get logged when the User Account Password gets reset.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4724 | Type: Success Audit | Category: User Account Management | Description: An attempt was made to reset an account’s password.

6. User Account Profile Path Set: Below is the Event ID that gets logged when Profile Path gets set for a user account.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

7. User Account Rename: Below are the Event IDs that get logged when the User Account is renamed.

•  Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: The name of an account was changed.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User Account was changed.

8. Create Local Group: Below are the Event IDs that get logged when the Local Group is created.

• Event ID: 4731 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was created

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

9. Add User to Local Group: Below is the Event ID that gets logged when the user gets added to the Local group.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group

10. Remove User from Local Group: Below is the Event ID that gets logged when the user is removed from the Local group.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group

11. Delete Local Group: Below is the Event ID that gets logged when the Local Group is deleted.

• Event ID: 4734 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was deleted

12. Rename Local Group: Below are the Event IDs that get logged when the Local Group is renamed.

• Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: A name of an account was changed

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

In this way, you can trace users with their activities. This article is applicable for Windows 11/10/8.1 in Workgroup Mode. For Active Directory Domain, the procedure will be different.

Related posts

• V systéme Windows 11/10 automaticky odstráňte staré používateľské profily a súbory

• Ako pridať Editor zásad skupiny do Windows 11/10 Home Edition

• Ako povoliť alebo zakázať dlhé cesty Win32 v systéme Windows 11/10

• Ako zakázať možnosť prihlásenia pomocou hesla obrázka v systéme Windows 11/10

• Ako určiť minimálnu a maximálnu dĺžku PIN v systéme Windows 11/10

• Ako sledovať počítač so systémom Windows a aktivitu používateľov

• Ako obnoviť odstránený profil používateľského účtu v systéme Windows 11/10

• Zabráňte používateľom meniť dátum a čas v systéme Windows 11/10

• Ako povoliť alebo zakázať funkciu izolácie aplikácií v systéme Windows 10

• Nastavte predvolený obrázok prihlásenia používateľa pre všetkých používateľov v systéme Windows 11/10

• Umiestnenie registra zásad skupiny v systéme Windows 11/10

• Ako uzamknúť všetky nastavenia panela úloh v systéme Windows 10

• Povoliť, zakázať automatické opravy a zvýrazniť nesprávne napísané slová v systéme Windows

• Ako odstrániť vstavaný účet správcu v systéme Windows 11/10

• Ako povoliť prihlasovanie Inštalátora systému Windows v systéme Windows 10

• Ako vypnúť alebo zapnúť režim v lietadle v systéme Windows 11/10

• Vo Windowse 11/10 chýbajú nastavenia skupinovej politiky

• Zmeniť maximálny vek vyrovnávacej pamäte optimalizácie doručenia služby Windows Update

• Klientskej službe skupinovej politiky sa nepodarilo prihlásiť do systému Windows 11/10

• Ako použiť skupinovú politiku na neadministrátorov iba v systéme Windows 10