A Windows^(Windows) többfelhasználós funkcionalitása lehetővé tette számunkra, hogy kényelmesen használjuk nyilvános helyeken, például iskolákban, főiskolákban, irodákban stb. Ezeken a helyeken általában van egy rendszergazda, aki képes szemmel tartani az ott dolgozó felhasználók tevékenységét. Néha a felhasználók túllépik korlátaikat, és módosítják a munkacsoport^(Workgroup) módban konfigurált fiókokat. Ennek biztonsági következményei lehetnek, ezért be kell állítanunk a Windows -t a felhasználói tevékenységek nyomon követésére.

A Windows^(Windows) felhasználói tevékenység megfigyelésére való konfigurálásával növelhetjük az adminisztráció biztonságát, illetve szabálysértés esetén az áldozatokat is megbüntethetjük nyilvántartásaik megfigyelésével. Ebben a cikkben bemutatjuk, hogyan követheti nyomon a felhasználói tevékenységeket a Windows 11/10/8.1/8/7 az Audit Policy segítségével. Íme, hogyan:

Kövesse nyomon a felhasználói tevékenységeket^{(Track User Activity)} az Audit Policy segítségével munkacsoport módban^{(WorkGroup Mode)}

1. Nyomja meg a Windows Key + R kombinációt, írja be a put secpol.msc parancsot^(secpol.msc) a Futtatás^(Run)  párbeszédpanelbe, és nyomja le az Enter billentyűt a Helyi biztonsági házirend^{(Local Security Policy)} megnyitásához .

2. A Helyi biztonsági házirend^{(Local Security Policy)} ablakban bontsa ki a Biztonsági beállítások^{(Security Settings)} > Helyi házirendek^{(Local Policies)} > Vizsgálati^{(Audit Policy)} házirend elemet . Most hasonlóvá kell tennie az ablakot ehhez:

3. A jobb oldali ablaktáblában 9 Audit…[] -házirend látható, amelyeknél a Nincs auditálás ^{(No auditing)}előre meghatározott^{(pre-defined)} biztonsági beállítás. Kattintson egyenként^{(Click one)} az összes házirendre, és válassza ki a Siker^(Success) és kudarc^(Failure) lehetőséget , majd kattintson az Alkalmaz^{( Apply)} , majd az OK gombra^(OK) az egyes házirendeknél.

Ily módon beállítjuk a Windows rendszert^(Windows) a felhasználói tevékenység nyomon követésére.

Kövesse az alábbi lépéseket a nyomkövetési rekordok lekéréséhez:

Felhasználói tevékenység nyomon követése az Eseménynaplóval^{(Trace User Activity Using Event Viewer)}

1. Nyomja meg a Windows Key + R kombinációt, írja be a put  eventvwr parancsot^(eventvwr) a Futtatás^(Run)  párbeszédpanelbe, és nyomja meg az Enter billentyűt az Eseménynapló^{(Event Viewer)} megnyitásához .

2. Most az Eseménynézet^{(Event Viewe)} ablak bal oldali ablaktáblájában válassza a Windows Naplók^{(Windows Logs)} > Biztonság^(Security) elemet . Itt a Windows minden biztonsággal kapcsolatos eseményt rögzít.

3. A középső ablaktáblán kattintson bármelyik eseményre az információinak megtekintéséhez:

Most itt van az eseményazonosítók listája, amely^(IDs) lefedi a felhasználói tevékenységeket a fiókokhoz munkacsoport módban:

1. Felhasználó létrehozása:^{(Create User:)} Alul láthatók azok az eseményazonosítók^{(Event IDs)} , amelyek a felhasználó létrehozásakor naplózásra kerülnek.

• Eseményazonosító:^{(Event ID: )} 4728 | Típus:^{(Type: )} Audit Siker | Kategória:^{(Category: )} Biztonsági csoport menedzsment | Leírás:^{(Description: )} Egy tag hozzá lett adva egy biztonsági funkcióval rendelkező globális csoporthoz.

• Eseményazonosító:^{(Event ID: )} 4720 | Típus:^{(Type: )} Audit Siker | Kategória:^{(Category: )} Felhasználói fiókok kezelése | Leírás:^{(Description: )} Felhasználói fiók jött létre.

• Eseményazonosító:^{(Event ID: )} 4722 | Típus:^{(Type: )} Audit Siker | Kategória:^{(Category: )} Felhasználói fiókok kezelése | Leírás:^{(Description: )} Egy felhasználói fiók engedélyezve volt.

• Eseményazonosító:^{(Event ID: )} 4738 | Típus:^{(Type: )} Siker audit | Kategória:^{(Category: )} Felhasználói fiókok kezelése | Leírás:^{(Description: )} Egy felhasználói fiók megváltozott.

• Eseményazonosító:^{(Event ID: )} 4732 | Típus:^{(Type: )} Siker audit | Kategória: ^{(Category: )} Biztonsági csoport menedzsment | Leírás:^{(Description: )} Egy tag hozzáadva egy biztonsági funkcióval rendelkező helyi csoporthoz.

2. Felhasználó törlése:^{(Delete User: )} Alul láthatók azok az eseményazonosítók^{(Event IDs)} , amelyek a felhasználó törlésekor naplózásra kerülnek.

• Eseményazonosító:^{(Event ID: )} 4733 | Típus:^{(Type: )} Siker audit | Kategória: ^{(Category: )} Biztonsági csoport menedzsment | Leírás:^{(Description: )} Egy tagot eltávolítottak egy biztonsági funkcióval rendelkező helyi csoportból.

• Eseményazonosító:^{(Event ID: )} 4729 | Típus:^{(Type: )} Siker audit | Kategória: ^{(Category: )} Biztonsági csoport menedzsment | Leírás:^{(Description: )} Egy tag hozzá lett adva egy biztonsági funkcióval rendelkező globális csoporthoz.

• Eseményazonosító:^{(Event ID: )} 4726 | Típus:^{( Type: )} Siker audit | Kategória: ^{(Category: )} Felhasználói fiókok kezelése | Leírás:^{(Description: )} Egy felhasználói fiók törölve lett.

3. Felhasználói fiók letiltva:^{(User Account Disabled: )} Az alábbiakban láthatók azok az eseményazonosítók^{(Event IDs)} , amelyek a felhasználó letiltásakor naplózódnak.

• Eseményazonosító:^{(Event ID: )} 4725 | Típus:^{(Type: )} Siker audit | Kategória: ^{(Category: )} Felhasználói fiókok kezelése | Leírás:^{(Description: )} Egy felhasználói fiók le van tiltva.

• Eseményazonosító:^{(Event ID: )} 4738 | Típus:^{(Type: )} Siker audit | Kategória: ^{(Category: )} Felhasználói fiókok kezelése | Leírás:^{(Description: )} Egy felhasználói fiók megváltozott.

4. Felhasználói fiók engedélyezve:^{(User Account Enabled: )} Az alábbiakban láthatók azok az eseményazonosítók^{(Event IDs)} , amelyek naplózásra kerülnek, amikor a felhasználó engedélyezve van.

• Eseményazonosító:^{(Event ID: )} 4722 | Típus:^{(Type: )} Siker audit | Kategória: ^{(Category: )} Felhasználói fiókok kezelése | Leírás:^{(Description: )} Egy felhasználói fiók engedélyezve volt.

• Eseményazonosító:^{(Event ID: )} 4738 | Típus:^{(Type: )} Siker audit | Kategória: ^{(Category: )} Felhasználói fiókok kezelése | Leírás:^{(Description: )} Egy felhasználói fiók megváltozott.

5. Felhasználói fiók jelszavának visszaállítása:^{(User Account Password Reset: )} Az alábbiakban láthatók azok az eseményazonosítók , amelyek a ^{(Event IDs)}felhasználói fiók jelszavának^{(User Account Password)} visszaállításakor naplózódnak .

• Eseményazonosító:^{(Event ID: )} 4738 | Típus:^{(Type: )} Siker audit | Kategória: ^{(Category: )} Felhasználói fiókok kezelése | Leírás:^{(Description: )} Egy felhasználói fiók megváltozott.

• Eseményazonosító:^{(Event ID: )} 4724 | Típus:^{(Type: )} Siker audit | Kategória: ^{(Category: )} Felhasználói fiókok kezelése | Leírás:^{(Description: )} Kísérlet történt egy fiók jelszavának visszaállítására.

6. Felhasználói fiók profilútvonal beállítása: ^{(User Account Profile Path Set: )}Az alábbiakban^(Below) látható az eseményazonosító^{(Event ID)} , amely naplózásra kerül, amikor egy felhasználói fiókhoz beállítja a profil elérési útját .^{(Profile Path)}

• Eseményazonosító:^{(Event ID: )} 4738 | Típus:^{(Type: )} Siker audit | Kategória: ^{(Category: )} Felhasználói fiókok kezelése | Leírás:^{(Description: )} Egy felhasználói fiók megváltozott.

7. Felhasználói fiók átnevezése:^{(User Account Rename: )} Alul láthatók azok az eseményazonosítók , amelyek a ^{(Event IDs)}felhasználói^{(User Account)} fiók átnevezésekor naplózásra kerülnek .

•  Eseményazonosító:^{(Event ID: )} 4781 | Típus:^{(Type: )} Siker audit | Kategória: ^{(Category: )} Felhasználói fiókok kezelése | Leírás:^{(Description: )} Egy fiók neve megváltozott.

• Eseményazonosító:^{(Event ID: )} 4738 | Type: Siker audit | Kategória: ^{(Category: )} Felhasználói fiókok kezelése | Leírás:^{(Description: )} Egy felhasználói fiók megváltozott.

8. Helyi csoport létrehozása:^{(Create Local Group: )} Alul láthatók azok az eseményazonosítók , amelyek a ^{(Event IDs)}helyi csoport^{(Local Group)} létrehozásakor naplózásra kerülnek .

• Eseményazonosító:^{(Event ID: )} 4731 | Típus:^{(Type: )} Siker audit | Kategória: ^{(Category: )} Biztonsági csoport menedzsment | Leírás:^{(Description: )} Létrejött egy biztonsági funkcióval rendelkező helyi csoport

• Eseményazonosító:^{(Event ID: )} 4735 | Típus:^{(Type: )} Siker audit | Kategória: ^{(Category: )} Biztonsági csoport menedzsment | Leírás:^{(Description: )} Egy biztonsági funkcióval rendelkező helyi csoport módosult

9. Felhasználó hozzáadása a helyi csoporthoz: ^{(Add User to Local Group: )}Alul^(Below) látható az eseményazonosító^{(Event ID)} , amely naplózásra kerül, amikor a felhasználó felkerül a helyi^(Local) csoportba.

• Eseményazonosító:^{(Event ID: )} 4732 | Típus:^{(Type: )} Siker audit | Kategória: ^{(Category: )} Biztonsági csoport menedzsment | Leírás:^{(Description: )} Egy tag hozzáadva egy biztonsági funkcióval rendelkező helyi csoporthoz

10. Felhasználó eltávolítása a helyi csoportból: ^{(Remove User from Local Group: )}Alul^(Below) látható az  eseményazonosító^{(Event ID)} , amely naplózásra kerül, amikor a felhasználót eltávolítják a helyi^(Local) csoportból.

• Eseményazonosító:^{(Event ID: )} 4733 | Típus:^(Type:) Siker audit | Kategória:^(Category:)  Biztonsági csoport menedzsment | Leírás:^{(Description:)} Egy tagot eltávolítottak egy biztonsági funkcióval rendelkező helyi csoportból

11. Helyi csoport törlése: ^{(Delete Local Group: )}Alul^(Below) látható az eseményazonosító , amely a ^{(Event ID)}helyi csoport^{(Local Group)} törlésekor naplózásra kerül .

• Eseményazonosító:^{(Event ID: )} 4734 | Típus:^{(Type: )} Siker audit | Kategória: ^{(Category: )} Biztonsági csoport menedzsment | Leírás:^{(Description: )} Egy biztonsági funkcióval rendelkező helyi csoport törölve lett

12. Helyi csoport átnevezése:^{(Rename Local Group: )} Alul láthatók azok az eseményazonosítók , amelyek a ^{(Event IDs)}helyi csoport^{(Local Group)} átnevezésekor naplózódnak .

• Eseményazonosító:^{(Event ID: )} 4781 | Típus:^{(Type: )} Siker audit | Kategória: ^{(Category: )} Felhasználói fiókok kezelése | Leírás:^{(Description: )} Egy fiók neve megváltozott

• Eseményazonosító:^{(Event ID: )} 4735 | Típus:^{(Type: )} Siker audit | Kategória: ^{(Category: )} Biztonsági csoport menedzsment | Leírás:^{(Description: )} Egy biztonsági funkcióval rendelkező helyi csoport módosult

Ily módon nyomon követheti a felhasználók tevékenységét. Ez a cikk a Windows 11/10/8.1 vonatkozik munkacsoport módban^{(Workgroup Mode)} . Az Active Directory Domain esetében az eljárás eltérő lesz.

How to track User Activity in WorkGroup Mode on Windows 11/10

Multi-user functionality in Windows has enabled us to use it conveniently in public places like schools, colleges, offices, etc. At these places, there is generally an administrator, who manages to keep an eye on the activities of users working therein. Sometimes, users go beyond their limits and modify accounts configured in Workgroup mode. This can have security repercussions, and thus we should configure Windows to track down user activities.

By configuring Windows for monitoring user activities, we can increase the security of the administration and can also punish the victim users by observing their records in case of an offense. In this article, we’ll tell you the way to track user activities in Windows 11/10/8.1/8/7 using Audit Policy. Here is how:

Track User Activity using Audit Policy in WorkGroup Mode

1. Press Windows Key + R combination, type put secpol.msc in Run dialog box and hit Enter to open the Local Security Policy.

2. In the Local Security Policy window, expand Security Settings > Local Policies > Audit Policy. Now you should get your window resembled with this one:

3. In the right pane, you can see 9 Audit…[] policies have No auditing as pre-defined security setting. Click one by one all the policies and make the selection to Success and Failure, click Apply followed by OK for each policy.

In this way, we will have configured Windows to track down user activity.

Follow these steps to get the traced records:

Trace User Activity Using Event Viewer

1. Press Windows Key + R combination, type put eventvwr in Run dialog box and hit Enter to open the Event Viewer.

2. Now, in the Event Viewer window, from the left pane, select Windows Logs > Security. Here Windows keeps a record of every event concerning security.

3. From the center pane, click any event to get its info:

Now, here is the list of the event IDs which covers the user activities for the accounts in the workgroup mode:

1. Create User: Below are the Event IDs that get logged when the user is created.

• Event ID: 4728 | Type: Audit Success | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4720 | Type: Audit Success | Category: User Account Management | Description: A User account was created.

• Event ID: 4722 | Type: Audit Success | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group.

2. Delete User: Below are the Event IDs that get logged when the user is deleted.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group.

• Event ID: 4729 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4726 | Type: Success Audit | Category: User Account Management | Description: A User account was deleted.

3. User Account Disabled: Below are the Event IDs that get logged when the user is disabled.

• Event ID: 4725 | Type: Success Audit | Category: User Account Management | Description: A User account was disabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

4. User Account Enabled: Below are the Event IDs that get logged when the user is enabled.

• Event ID: 4722 | Type: Success Audit | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

5. User Account Password Reset: Below are the Event IDs that get logged when the User Account Password gets reset.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4724 | Type: Success Audit | Category: User Account Management | Description: An attempt was made to reset an account’s password.

6. User Account Profile Path Set: Below is the Event ID that gets logged when Profile Path gets set for a user account.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

7. User Account Rename: Below are the Event IDs that get logged when the User Account is renamed.

•  Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: The name of an account was changed.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User Account was changed.

8. Create Local Group: Below are the Event IDs that get logged when the Local Group is created.

• Event ID: 4731 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was created

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

9. Add User to Local Group: Below is the Event ID that gets logged when the user gets added to the Local group.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group

10. Remove User from Local Group: Below is the Event ID that gets logged when the user is removed from the Local group.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group

11. Delete Local Group: Below is the Event ID that gets logged when the Local Group is deleted.

• Event ID: 4734 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was deleted

12. Rename Local Group: Below are the Event IDs that get logged when the Local Group is renamed.

• Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: A name of an account was changed

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

In this way, you can trace users with their activities. This article is applicable for Windows 11/10/8.1 in Workgroup Mode. For Active Directory Domain, the procedure will be different.

Related posts

• Törölje automatikusan a régi felhasználói profilokat és fájlokat a Windows 11/10 rendszerben

• Csoportházirend-szerkesztő hozzáadása a Windows 11/10 Home Edition rendszerhez

• A Win32 hosszú elérési útjainak engedélyezése vagy letiltása Windows 11/10 rendszeren

• A képjelszó-bejelentkezés letiltása a Windows 11/10 rendszerben

• A minimális és maximális PIN-hossz megadása a Windows 11/10 rendszerben

• A csoportházirend-ügyfélszolgáltatás nem tudott bejelentkezni a Windows 11/10 rendszerben

• A csoportházirend-szerkesztő telepítése (gpedit.msc)

• Engedélyezze, tiltsa le az automatikus javítást és emelje ki a hibásan írt szavakat a Windows rendszerben

• Csoportházirend-nyilvántartási hely a Windows 11/10 rendszerben

• A csoportházirend-beállítások biztonsági mentése/visszaállítása vagy importálása/exportálása a Windows 11/10 rendszerben

• Importálás, exportálás, javítás, alapértelmezett tűzfalházirend visszaállítása a Windows 11/10 rendszerben

• A tálca összes beállításának zárolása a Windows 10 rendszerben

• Hozzáférés a helyi felhasználó- és csoportkezeléshez a Windows 11/10 Home rendszerben

• Kapcsolja ki a legutóbbi keresési bejegyzések megjelenítését a Fájlkezelőben a Windows 11/10 rendszerben

• A beépített rendszergazdai fiók törlése a Windows 11/10 rendszerben

• Hiba a Helyi csoportházirend-szerkesztő megnyitásakor a Windows 11/10 rendszerben

• Hogyan lehet megakadályozni, hogy a felhasználók töröljék a diagnosztikai adatokat a Windows 11/10 rendszerben

• Telepítheti a Windows frissítéseket csökkentett módban a Windows 11/10 rendszerben?

• Hogyan lehet nyomon követni a Windows számítógépet és a felhasználói tevékenységet

• A Windows 10 megakadályozása a Microsoft Edge előtöltésében indításkor