Fleranvändarfunktionalitet i Windows har gjort det möjligt för oss att använda det bekvämt på offentliga platser som skolor, högskolor, kontor, etc. På dessa platser finns det vanligtvis en administratör som lyckas hålla ett öga på aktiviteterna för användare som arbetar där. Ibland går användare över sina gränser och ändrar konton som konfigurerats i arbetsgruppsläge^(Workgroup) . Detta kan få säkerhetsmässiga återverkningar, och därför bör vi konfigurera Windows för att spåra användaraktiviteter.

Genom att konfigurera Windows för övervakning av användaraktiviteter kan vi öka säkerheten för administrationen och kan även straffa offrets användare genom att observera deras register i händelse av ett brott. I den här artikeln berättar vi hur du spårar användaraktiviteter i Windows 11/10/8.1/8/7 med hjälp av revisionspolicy. Så här gör du:

Spåra användaraktivitet^{(Track User Activity)} med hjälp av revisionspolicy i arbetsgruppsläge^{(WorkGroup Mode)}

1. Tryck på Windows Key + R -kombinationen, skriv put secpol.msc i  dialogrutan Kör och tryck på ^(Run)Enter för att öppna den lokala säkerhetspolicyn^{(Local Security Policy)} .

2. I fönstret Lokal säkerhetspolicy^{(Local Security Policy)} expanderar du Säkerhetsinställningar^{(Security Settings)} > Lokala policyer^{(Local Policies)} > Granskningspolicy^{(Audit Policy)} . Nu bör du få ditt fönster att likna det här:

3. I den högra rutan kan du se 9 Revision...[]^(Audit…[]) - policyer har Ingen revision^{(No auditing)} som fördefinierad^{(pre-defined)} säkerhetsinställning. Klicka^{(Click one)} på alla policyer en efter en och välj Framgång^(Success) och misslyckande^(Failure) , klicka på Använd^{( Apply)} följt av OK för varje policy.

På detta sätt kommer vi att ha konfigurerat Windows för att spåra användaraktivitet.

Följ dessa steg för att få spårade poster:

Spåra användaraktivitet med hjälp av Event Viewer^{(Trace User Activity Using Event Viewer)}

1. Tryck på Windows Key + R -kombinationen, skriv put  eventvwr i  dialogrutan Kör och tryck på ^(Run)Enter för att öppna händelsevisaren^{(Event Viewer)} .

2. Välj nu ^(2.)Windows-loggar^{(Windows Logs)} > Säkerhet^(Security) i fönstret Händelsevy i^{(Event Viewe)} den vänstra rutan . Här för Windows ett register över varje händelse som rör säkerhet.

3. Klicka på valfri händelse i mittrutan för att få information om den:

Här är listan över händelse -ID^(IDs) :n som täcker användaraktiviteterna för kontona i arbetsgruppsläget:

1. Skapa användare:^{(Create User:)} Nedan visas händelse-ID^{(Event IDs)} :n som loggas när användaren skapas.

• Händelse-ID:^{(Event ID: )} 4728 | Typ:^{(Type: )} Granskningsframgång | Kategori:^{(Category: )} Säkerhetsgruppledning | Beskrivning:^{(Description: )} En medlem lades till i en säkerhetsaktiverad global grupp.

• Händelse-ID:^{(Event ID: )} 4720 | Typ:^{(Type: )} Granskningsframgång | Kategori:^{(Category: )} Användarkontohantering | Beskrivning:^{(Description: )} Ett användarkonto skapades.

• Händelse-ID:^{(Event ID: )} 4722 | Typ:^{(Type: )} Granskningsframgång | Kategori:^{(Category: )} Användarkontohantering | Beskrivning:^{(Description: )} Ett användarkonto har aktiverats.

• Händelse-ID:^{(Event ID: )} 4738 | Typ:^{(Type: )} Framgångsrevision | Kategori:^{(Category: )} Användarkontohantering | Beskrivning:^{(Description: )} Ett användarkonto har ändrats.

• Händelse-ID:^{(Event ID: )} 4732 | Typ:^{(Type: )} Framgångsrevision | Kategori: ^{(Category: )} Säkerhetsgruppledning | Beskrivning:^{(Description: )} En medlem lades till i en säkerhetsaktiverad lokal grupp.

2. Ta bort användare:^{(Delete User: )} Nedan finns händelse-ID^{(Event IDs)} :n som loggas när användaren raderas.

• Händelse-ID:^{(Event ID: )} 4733 | Typ:^{(Type: )} Framgångsrevision | Kategori: ^{(Category: )} Säkerhetsgruppledning | Beskrivning:^{(Description: )} En medlem togs bort från en säkerhetsaktiverad lokal grupp.

• Händelse-ID:^{(Event ID: )} 4729 | Typ:^{(Type: )} Framgångsrevision | Kategori: ^{(Category: )} Säkerhetsgruppledning | Beskrivning:^{(Description: )} En medlem lades till i en säkerhetsaktiverad global grupp.

• Händelse-ID:^{(Event ID: )} 4726 | Typ:^{( Type: )} Framgångsrevision | Kategori: ^{(Category: )} Användarkontohantering | Beskrivning:^{(Description: )} Ett användarkonto har raderats.

3. Användarkonto inaktiverat:^{(User Account Disabled: )} Nedan visas händelse-ID^{(Event IDs)} :n som loggas när användaren inaktiveras.

• Händelse-ID:^{(Event ID: )} 4725 | Typ:^{(Type: )} Framgångsrevision | Kategori: ^{(Category: )} Användarkontohantering | Beskrivning:^{(Description: )} Ett användarkonto har inaktiverats.

• Händelse-ID:^{(Event ID: )} 4738 | Typ:^{(Type: )} Framgångsrevision | Kategori: ^{(Category: )} Användarkontohantering | Beskrivning:^{(Description: )} Ett användarkonto har ändrats.

4. Användarkonto aktiverat:^{(User Account Enabled: )} Nedan visas händelse-ID^{(Event IDs)} :n som loggas när användaren aktiveras.

• Händelse-ID:^{(Event ID: )} 4722 | Typ:^{(Type: )} Framgångsrevision | Kategori: ^{(Category: )} Användarkontohantering | Beskrivning:^{(Description: )} Ett användarkonto har aktiverats.

• Händelse-ID:^{(Event ID: )} 4738 | Typ:^{(Type: )} Framgångsrevision | Kategori: ^{(Category: )} Användarkontohantering | Beskrivning:^{(Description: )} Ett användarkonto har ändrats.

5. Återställning av lösenord för användarkonto:^{(User Account Password Reset: )} Nedan visas händelse-ID^{(Event IDs)} :n som loggas när lösenordet^{(User Account Password)} för användarkontot återställs.

• Händelse-ID:^{(Event ID: )} 4738 | Typ:^{(Type: )} Framgångsrevision | Kategori: ^{(Category: )} Användarkontohantering | Beskrivning:^{(Description: )} Ett användarkonto har ändrats.

• Händelse-ID:^{(Event ID: )} 4724 | Typ:^{(Type: )} Framgångsrevision | Kategori: ^{(Category: )} Användarkontohantering | Beskrivning:^{(Description: )} Ett försök gjordes att återställa ett kontos lösenord.

6. Användarkontots profilsökväg: ^{(User Account Profile Path Set: )}Nedan^(Below) visas händelse-ID^{(Event ID)} : t som loggas när profilsökvägen^{(Profile Path)} ställs in för ett användarkonto.

• Händelse-ID:^{(Event ID: )} 4738 | Typ:^{(Type: )} Framgångsrevision | Kategori: ^{(Category: )} Användarkontohantering | Beskrivning:^{(Description: )} Ett användarkonto har ändrats.

7. Byt namn på användarkonto:^{(User Account Rename: )} Nedan visas händelse-ID^{(Event IDs)} :n som loggas när användarkontot^{(User Account)} byter namn.

•  Händelse-ID:^{(Event ID: )} 4781 | Typ:^{(Type: )} Framgångsrevision | Kategori: ^{(Category: )} Användarkontohantering | Beskrivning:^{(Description: )} Namnet på ett konto har ändrats.

• Händelse-ID:^{(Event ID: )} 4738 | Type: Framgångsrevision | Kategori: ^{(Category: )} Användarkontohantering | Beskrivning:^{(Description: )} Ett användarkonto har ändrats.

8. Skapa lokal grupp:^{(Create Local Group: )} Nedan visas händelse-ID^{(Event IDs)} :n som loggas när den lokala gruppen^{(Local Group)} skapas.

• Händelse-ID:^{(Event ID: )} 4731 | Typ:^{(Type: )} Framgångsrevision | Kategori: ^{(Category: )} Säkerhetsgruppledning | Beskrivning:^{(Description: )} En säkerhetsaktiverad lokal grupp skapades

• Händelse-ID:^{(Event ID: )} 4735 | Typ:^{(Type: )} Framgångsrevision | Kategori: ^{(Category: )} Säkerhetsgruppledning | Beskrivning:^{(Description: )} En säkerhetsaktiverad lokal grupp har ändrats

9. Lägg till användare i lokal grupp: ^{(Add User to Local Group: )}Nedan^(Below) visas händelse-ID^{(Event ID)} : t som loggas när användaren läggs till i den lokala^(Local) gruppen.

• Händelse-ID:^{(Event ID: )} 4732 | Typ:^{(Type: )} Framgångsrevision | Kategori: ^{(Category: )} Säkerhetsgruppledning | Beskrivning:^{(Description: )} En medlem lades till i en säkerhetsaktiverad lokal grupp

10. Ta bort användare från lokal grupp: ^{(Remove User from Local Group: )}Nedan^(Below) är  händelse-ID^{(Event ID)} som loggas när användaren tas bort från den lokala^(Local) gruppen.

• Händelse-ID:^{(Event ID: )} 4733 | Typ:^(Type:) Framgångsrevision | Kategori:^(Category:)  Säkerhetsgruppledning | Beskrivning:^{(Description:)} En medlem togs bort från en säkerhetsaktiverad lokal grupp

11. Ta bort lokal grupp: ^{(Delete Local Group: )}Nedan^(Below) visas händelse-ID^{(Event ID)} : t som loggas när den lokala gruppen^{(Local Group)} tas bort.

• Händelse-ID:^{(Event ID: )} 4734 | Typ:^{(Type: )} Framgångsrevision | Kategori: ^{(Category: )} Säkerhetsgruppledning | Beskrivning:^{(Description: )} En säkerhetsaktiverad lokal grupp togs bort

12. Byt namn på lokal grupp:^{(Rename Local Group: )} Nedan visas händelse-ID^{(Event IDs)} :n som loggas när den lokala gruppen^{(Local Group)} byter namn.

• Händelse-ID:^{(Event ID: )} 4781 | Typ:^{(Type: )} Framgångsrevision | Kategori: ^{(Category: )} Användarkontohantering | Beskrivning:^{(Description: )} Namnet på ett konto har ändrats

• Händelse-ID:^{(Event ID: )} 4735 | Typ:^{(Type: )} Framgångsrevision | Kategori: ^{(Category: )} Säkerhetsgruppledning | Beskrivning:^{(Description: )} En säkerhetsaktiverad lokal grupp har ändrats

På så sätt kan du spåra användare med deras aktiviteter. Den här artikeln är tillämplig för Windows 11/10/8.1 i arbetsgruppsläge^{(Workgroup Mode)} . För Active Directory Domain kommer proceduren att vara annorlunda.

How to track User Activity in WorkGroup Mode on Windows 11/10

Multi-user functionality in Windows has enabled us to use it conveniently in public places like schools, colleges, offices, etc. At these places, there is generally an administrator, who manages to keep an eye on the activities of users working therein. Sometimes, users go beyond their limits and modify accounts configured in Workgroup mode. This can have security repercussions, and thus we should configure Windows to track down user activities.

By configuring Windows for monitoring user activities, we can increase the security of the administration and can also punish the victim users by observing their records in case of an offense. In this article, we’ll tell you the way to track user activities in Windows 11/10/8.1/8/7 using Audit Policy. Here is how:

Track User Activity using Audit Policy in WorkGroup Mode

1. Press Windows Key + R combination, type put secpol.msc in Run dialog box and hit Enter to open the Local Security Policy.

2. In the Local Security Policy window, expand Security Settings > Local Policies > Audit Policy. Now you should get your window resembled with this one:

3. In the right pane, you can see 9 Audit…[] policies have No auditing as pre-defined security setting. Click one by one all the policies and make the selection to Success and Failure, click Apply followed by OK for each policy.

In this way, we will have configured Windows to track down user activity.

Follow these steps to get the traced records:

Trace User Activity Using Event Viewer

1. Press Windows Key + R combination, type put eventvwr in Run dialog box and hit Enter to open the Event Viewer.

2. Now, in the Event Viewer window, from the left pane, select Windows Logs > Security. Here Windows keeps a record of every event concerning security.

3. From the center pane, click any event to get its info:

Now, here is the list of the event IDs which covers the user activities for the accounts in the workgroup mode:

1. Create User: Below are the Event IDs that get logged when the user is created.

• Event ID: 4728 | Type: Audit Success | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4720 | Type: Audit Success | Category: User Account Management | Description: A User account was created.

• Event ID: 4722 | Type: Audit Success | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group.

2. Delete User: Below are the Event IDs that get logged when the user is deleted.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group.

• Event ID: 4729 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4726 | Type: Success Audit | Category: User Account Management | Description: A User account was deleted.

3. User Account Disabled: Below are the Event IDs that get logged when the user is disabled.

• Event ID: 4725 | Type: Success Audit | Category: User Account Management | Description: A User account was disabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

4. User Account Enabled: Below are the Event IDs that get logged when the user is enabled.

• Event ID: 4722 | Type: Success Audit | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

5. User Account Password Reset: Below are the Event IDs that get logged when the User Account Password gets reset.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4724 | Type: Success Audit | Category: User Account Management | Description: An attempt was made to reset an account’s password.

6. User Account Profile Path Set: Below is the Event ID that gets logged when Profile Path gets set for a user account.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

7. User Account Rename: Below are the Event IDs that get logged when the User Account is renamed.

•  Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: The name of an account was changed.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User Account was changed.

8. Create Local Group: Below are the Event IDs that get logged when the Local Group is created.

• Event ID: 4731 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was created

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

9. Add User to Local Group: Below is the Event ID that gets logged when the user gets added to the Local group.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group

10. Remove User from Local Group: Below is the Event ID that gets logged when the user is removed from the Local group.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group

11. Delete Local Group: Below is the Event ID that gets logged when the Local Group is deleted.

• Event ID: 4734 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was deleted

12. Rename Local Group: Below are the Event IDs that get logged when the Local Group is renamed.

• Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: A name of an account was changed

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

In this way, you can trace users with their activities. This article is applicable for Windows 11/10/8.1 in Workgroup Mode. For Active Directory Domain, the procedure will be different.

Related posts

• Ta bort gamla användarprofiler och filer automatiskt i Windows 11/10

• Hur man lägger till Group Policy Editor till Windows 11/10 Home Edition

• Hur man aktiverar eller inaktiverar Win32 Long Paths på Windows 11/10

• Så här inaktiverar du bildlösenordsinloggningsalternativet i Windows 11/10

• Så här anger du minsta och maximala PIN-längd i Windows 11/10

• Grupprincipinställningar saknas i Windows 11/10

• Referenshandbok för grupprincipinställningar för Windows 10

• Hur man stänger av eller slår på flygplansläge i Windows 11/10

• Hur man anger deadline innan automatisk omstart för uppdateringsinstallation

• Beroendetjänsten eller -gruppen kunde inte starta i Windows 11/10

• Grupprincip för skrivbordsbakgrund gäller inte i Windows 11/10

• Ställ in en standardbild för användarinloggning för alla användare i Windows 11/10

• Hur man återställer raderad användarkontoprofil i Windows 11/10

• Hur man aktiverar eller inaktiverar snabb inloggningsoptimering i Windows 11/10

• Så här aktiverar du Windows Installer-loggning på Windows 10

• Ändra Cache-enhet för leveransoptimering för Windows-uppdateringar

• Inaktivera leveransoptimering via grupprincip eller registerredigerare

• Skapa genväg på skrivbordet för att byta användarkonto i Windows 11/10

• Hur man spårar Windows-dator och användaraktivitet

• Så här tillämpar du gruppolicy endast på icke-administratörer i Windows 10