So verfolgen Sie die Benutzeraktivität im Arbeitsgruppenmodus unter Windows 10/8/7
Multi-User-Funktionalität in Windows hat es uns ermöglicht, sie bequem an öffentlichen Orten wie Schulen, Hochschulen, Büros usw. zu verwenden. An diesen Orten gibt es normalerweise einen Administrator, der es schafft, die Aktivitäten der Benutzer zu überwachen, die dort arbeiten. Manchmal gehen Benutzer über ihre Grenzen hinaus und ändern die im Arbeitsgruppenmodus konfigurierten Konten. Dies kann Auswirkungen auf die Sicherheit haben, und daher sollten wir dies konfigurieren Windows um Benutzeraktivitäten aufzuspüren.
Durch die Konfiguration von Windows für die Überwachung von Benutzeraktivitäten können wir die Sicherheit der Verwaltung erhöhen und die Opferbenutzer auch bestrafen, indem sie ihre Aufzeichnungen im Falle einer Straftat überwachen. In diesem Artikel erfahren Sie, wie Sie Benutzeraktivitäten in verfolgen können Windows 10 / 8.1 / 8/7 unter Verwendung der Prüfrichtlinien. Hier ist, wie:
Verfolgung der Benutzeraktivität mithilfe der Überwachungsrichtlinie
1. Drücken Sie Windows-Taste + R Kombination, Typ Put secpol.msc im Lauf Dialogfeld und drücken Sie Eingeben die öffnen Lokale Sicherheitsrichtlinie.
2. In dem Lokale Sicherheitsrichtlinie Fenster erweitern Sicherheitseinstellungen -> Lokale Richtlinien -> Audit-Richtlinie. Jetzt sollten Sie Ihr Fenster mit diesem Fenster aussehen lassen:
3. Im rechten Bereich können Sie sehen 9 Audit… [] Richtlinien haben Keine Prüfung wie vordefiniert Sicherheitseinstellungen. Klicken Sie nacheinander alle Richtlinien an und treffen Sie die Auswahl nach Erfolg und Fehler, klicken Sich bewerben gefolgt von OK für jede Politik.
Auf diese Weise haben wir Windows so konfiguriert, dass Benutzeraktivitäten aufgespürt werden.
Führen Sie die folgenden Schritte aus, um die verfolgten Datensätze abzurufen:
Verfolgen von Benutzeraktivitäten mithilfe der Ereignisanzeige
1. Drücken Sie Windows-Taste + R Kombination, Typ Put eventvwr in Lauf Dialogfeld und drücken Sie Eingeben die öffnen Ereignisanzeige.
2. Jetzt in der Event Viewer Fenster, wählen Sie im linken Bereich Windows-Protokolle -> Sicherheit. Hier protokolliert Windows jedes Sicherheitsereignis.
3. Klicken Sie im mittleren Bereich auf ein Ereignis, um dessen Informationen anzuzeigen:
Hier ist die Liste der Ereignis-IDs, die die Benutzeraktivitäten für die Konten im Arbeitsgruppenmodus abdeckt:1. Benutzer erstellen: Nachfolgend sind die Ereignis-IDs aufgeführt, die protokolliert werden, wenn der Benutzer erstellt wird.
- Event ID: 4728 | Art: Audit-Erfolg | Kategorie: Sicherheitsgruppenverwaltung | Beschreibung: Ein Mitglied wurde einer globalen Gruppe mit aktivierter Sicherheit hinzugefügt.
- Event ID: 4720 | Art: Audit-Erfolg | Kategorie: Benutzerkontenverwaltung | Beschreibung: Ein Benutzerkonto wurde erstellt.
- Event ID: 4722 | Art: Audit-Erfolg | Kategorie: Benutzerkontenverwaltung | Beschreibung: Ein Benutzerkonto wurde aktiviert.
- Event ID: 4738 | Art: Erfolgsprüfung | Kategorie: Benutzerkontenverwaltung | Beschreibung: Ein Benutzerkonto wurde geändert.
- Event ID: 4732 | Art: Erfolgsprüfung | Kategorie: Sicherheitsgruppenverwaltung | Beschreibung: Ein Mitglied wurde einer lokalen Gruppe mit aktivierter Sicherheit hinzugefügt.
2. Benutzer löschen : Nachfolgend sind die Ereignis-IDs aufgeführt, die protokolliert werden, wenn der Benutzer gelöscht wird.
- Event ID: 4733 | Art: Erfolgsprüfung | Kategorie: Sicherheitsgruppenverwaltung | Beschreibung: Ein Mitglied wurde aus einer lokalen Sicherheitsgruppe entfernt.
- Event ID: 4729 | Art: Erfolgsprüfung | Kategorie: Sicherheitsgruppenverwaltung | Beschreibung: Ein Mitglied wurde einer globalen Gruppe mit aktivierter Sicherheit hinzugefügt.
- Event ID: 4726 | Art: Erfolgsprüfung | Kategorie: Benutzerkontenverwaltung | Beschreibung: Ein Benutzerkonto wurde gelöscht.
3. Benutzerkonto deaktiviert: Nachfolgend finden Sie die Ereignis-IDs, die protokolliert werden, wenn der Benutzer deaktiviert ist.
- Event ID: 4725 | Art: Erfolgsprüfung | Kategorie: Benutzerkontenverwaltung | Beschreibung: Ein Benutzerkonto wurde deaktiviert.
- Event ID: 4738 | Art: Erfolgsprüfung | Kategorie: Benutzerkontenverwaltung | Beschreibung: Ein Benutzerkonto wurde geändert.
4. Benutzerkonto aktiviert: Nachfolgend finden Sie die Ereignis-IDs, die protokolliert werden, wenn der Benutzer aktiviert ist.
- Event ID: 4722 | Art: Erfolgsprüfung | Kategorie: Benutzerkontenverwaltung | Beschreibung: Ein Benutzerkonto wurde aktiviert.
- Event ID: 4738 | Art: Erfolgsprüfung | Kategorie: Benutzerkontenverwaltung | Beschreibung: Ein Benutzerkonto wurde geändert.
5. Benutzerkonto Passwort zurücksetzen: Nachfolgend finden Sie die Ereignis-IDs, die protokolliert werden, wenn das Benutzerkontokennwort zurückgesetzt wird.
- Event ID: 4738 | Art: Erfolgsprüfung | Kategorie: Benutzerkontenverwaltung | Beschreibung: Ein Benutzerkonto wurde geändert.
- Event ID: 4724 | Art: Erfolgsprüfung | Kategorie: Benutzerkontenverwaltung | Beschreibung: Es wurde versucht, das Kennwort eines Kontos zurückzusetzen.
6. Pfad des Benutzerkonto-Profils festgelegt: Unten ist die Ereignis-ID, die protokolliert wird, wenn der Profilpfad für ein Benutzerkonto festgelegt wird.
- Event ID: 4738 | Art: Erfolgsprüfung | Kategorie: Benutzerkontenverwaltung | Beschreibung: Ein Benutzerkonto wurde geändert.
7. Benutzerkonto umbenennen: Nachfolgend sind die Ereignis-IDs aufgeführt, die beim Umbenennen des Benutzerkontos protokolliert werden.
- Event ID: 4781 | Art: Erfolgsprüfung | Kategorie: Benutzerkontenverwaltung | Beschreibung: Der Name eines Kontos wurde geändert.
- Event ID: 4738 | Art: Erfolgsprüfung | Kategorie: Benutzerkontenverwaltung | Beschreibung: Ein Benutzerkonto wurde geändert.
8. Lokale Gruppe erstellen: Nachfolgend sind die Ereignis-IDs aufgeführt, die beim Erstellen der lokalen Gruppe protokolliert werden.
- Event ID: 4731 | Art: Erfolgsprüfung | Kategorie: Sicherheitsgruppenverwaltung | Beschreibung: Eine lokale Gruppe mit aktivierter Sicherheit wurde erstellt
- Event ID: 4735 | Art: Erfolgsprüfung | Kategorie: Sicherheitsgruppenverwaltung | Beschreibung: Eine lokale Sicherheitsgruppe wurde geändert
9. Benutzer zur lokalen Gruppe hinzufügen: Nachfolgend finden Sie die Ereignis-ID, die protokolliert wird, wenn der Benutzer zur lokalen Gruppe hinzugefügt wird.
- Event ID: 4732 | Art: Erfolgsprüfung | Kategorie: Sicherheitsgruppenverwaltung | Beschreibung: Ein Mitglied wurde einer lokalen Gruppe mit aktivierter Sicherheit hinzugefügt
10. Benutzer aus lokaler Gruppe entfernen: Unten ist die Ereignis-ID, die protokolliert wird, wenn der Benutzer aus der lokalen Gruppe entfernt wird.
- Event ID: 4733 | Art: Erfolgsprüfung | Kategorie: Sicherheitsgruppenverwaltung | Beschreibung: Ein Mitglied wurde aus einer lokalen Sicherheitsgruppe entfernt
11. Lokale Gruppe löschen: Unten ist die Ereignis-ID, die protokolliert wird, wenn die lokale Gruppe gelöscht wird.
- Event ID: 4734 | Art: Erfolgsprüfung | Kategorie: Sicherheitsgruppenverwaltung | Beschreibung: Eine lokale Sicherheitsgruppe wurde gelöscht
12. Lokale Gruppe umbenennen: Nachfolgend finden Sie die Ereignis-IDs, die protokolliert werden, wenn die lokale Gruppe umbenannt wird.
- Event ID: 4781 | Art: Erfolgsprüfung | Kategorie: Benutzerkontenverwaltung | Beschreibung: Ein Name eines Kontos wurde geändert
- Event ID: 4735 | Art: Erfolgsprüfung | Kategorie: Sicherheitsgruppenverwaltung | Beschreibung: Eine lokale Sicherheitsgruppe wurde geändert