We use cookies to ensure that we give you the best experience on our website.

如何在 Windows 11/10 上的工作组模式下跟踪用户活动

下载 Windows 加速工具来修复错误并让电脑运行得更快

多用户功能视窗使我们能够在学校、学院、办公室等公共场所方便地使用它。在这些地方,通常有一个管理员,他设法监视在其中工作的用户的活动。 有时,用户会超出其限制并修改在工作组模式下配置的帐户。 这可能会产生安全影响,因此我们应该配置视窗追踪用户活动。

通过配置Windows来监视用户活动,我们可以提高管理的安全性,并且还可以通过观察受害用户的记录来惩罚他们的犯罪行为。 在本文中,我们将告诉您如何跟踪用户活动Windows 11/10/8.1/8/7使用审核策略。 具体方法如下:

在工作组模式下使用审核策略跟踪用户活动

1.Windows 键 + R组合,类型 putsecpol.msc跑步对话框并点击进入打开本地安全策略

2.在里面本地安全策略窗口,展开安全设定>当地政策>审核政策。 现在您的窗口应该与此类似:

3.好的9 审计…在右侧窗格中,您可以看到政策有无审核作为预定义的安全设置。 将所有策略一一点击并选择成功失败, 点击申请其次是

对于每项政策。

通过这种方式,我们将配置 Windows 来跟踪用户活动。

请按照以下步骤获取跟踪记录:

使用事件查看器跟踪用户活动事件查看器1.Windows 键 + R组合,类型 put事件VWR跑步对话框并点击进入打开

安全2.现在,在事件查看r 窗口,从左窗格中选择Windows 日志>

。 Windows 在这里记录了每个与安全相关的事件。3.

从中心窗格中,单击任何事件以获取其信息:

创建用户:现在,以下是事件 ID 列表,涵盖工作组模式下帐户的用户活动:1.

  • 以下是创建用户时记录的事件 ID。描述:事件编号:4728 |类型:审核成功 |类别:安全组管理|
  • 成员已添加到启用安全性的全局组中。描述:事件编号:4720 | 4720类型:审核成功 |类别:用户帐户管理 |
  • 创建了一个用户帐户。描述:事件编号:4722 |类型:审核成功 |类别:用户帐户管理 |
  • 用户帐户已启用。描述:事件编号:4738 |类型:成功审核 |类别:用户帐户管理 |
  • 用户帐户已更改。描述:事件编号:4732 |类型:成功审核 |类别:安全组管理|

删除用户:成员已添加到启用安全的本地组。2.

  • 以下是删除用户时记录的事件 ID。描述:事件编号:4733 |类型:成功审核 |类别:安全组管理|
  • 成员已从启用安全的本地组中删除。描述:事件编号:4729 |类型:成功审核 |类别:安全组管理|
  • 成员已添加到启用安全性的全局组中。描述:事件编号:4726 |类型:成功审核 |类别:用户帐户管理 |

用户帐户已禁用:用户帐户已被删除。3.

  • 以下是禁用用户时记录的事件 ID。描述:事件编号:4725 |类型:成功审核 |类别:用户帐户管理 |
  • 用户帐户已被禁用。描述:事件编号:4738 |类型:成功审核 |类别:用户帐户管理 |

已启用用户帐户:用户帐户已更改。4.

  • 以下是启用用户时记录的事件 ID。描述:事件编号:4722 |类型:成功审核 |类别:用户帐户管理 |
  • 用户帐户已启用。描述:事件编号:4738 |类型:成功审核 |类别:用户帐户管理 |

用户帐户密码重置:用户帐户已更改。5.

  • 以下是重置用户帐户密码时记录的事件 ID。描述:事件编号:4738 |类型:成功审核 |类别:用户帐户管理 |
  • 用户帐户已更改。描述:事件编号:4724 |类型:成功审核 |类别:用户帐户管理 |

用户帐户配置文件路径集:尝试重置帐户密码。6.

  • 以下是为用户帐户设置配置文件路径时记录的事件 ID。描述:事件编号:4738 |类型:成功审核 |类别:用户帐户管理 |

用户帐户重命名:用户帐户已更改。7.

  • 描述:以下是重命名用户帐户时记录的事件 ID。事件编号:4781 |类型:成功审核 |类别:用户帐户管理 |
  • 帐户名称已更改。描述:事件编号:4738| 类型:成功审核 |类别:用户帐户管理 |

创建本地组:用户帐户已更改。8.

  • 以下是创建本地组时记录的事件 ID。描述:事件编号:4731 |类型:成功审核 |类别:安全组管理|
  • 创建了启用安全的本地组描述:事件编号:4735 |类型:成功审核 |类别:安全组管理|

将用户添加到本地组:启用安全的本地组已更改9.

  • 以下是当用户添加到本地组时记录的事件 ID。描述:事件编号:4732 |类型:成功审核 |类别:安全组管理|

从本地组中删除用户:成员已添加到启用安全的本地组10.

  • 以下是从本地组中删除用户时记录的事件 ID。描述:事件编号:4733 |类型:成功审核 |类别:安全组管理|

删除本地组:成员已从启用安全的本地组中删除11.

  • 以下是删除本地组时记录的事件 ID。描述:事件编号:4734 |类型:成功审核 |类别:安全组管理|

重命名本地组:已删除启用安全的本地组12.

  • 以下是重命名本地组时记录的事件 ID。描述:事件编号:4781 |类型:成功审核 |类别:用户帐户管理 |
  • 帐户名称已更改描述:事件编号:4735 |类型:成功审核 |类别:安全组管理|

启用安全的本地组已更改

通过这种方式,您可以跟踪用户的活动。 本文适用于工作组模式下的 Windows 11/10/8.1。 对于 Active Directory 域,过程会有所不同。在工作组模式下启用本地管理员帐户另请阅读:如何

Also Read