Η λειτουργικότητα πολλών χρηστών στα Windows μας επέτρεψε να τη χρησιμοποιούμε άνετα σε δημόσιους χώρους όπως σχολεία, κολέγια, γραφεία κ.λπ. Σε αυτά τα μέρη, υπάρχει γενικά ένας διαχειριστής, ο οποίος καταφέρνει να παρακολουθεί τις δραστηριότητες των χρηστών που εργάζονται σε αυτά. Μερικές φορές, οι χρήστες υπερβαίνουν τα όριά τους και τροποποιούν λογαριασμούς που έχουν ρυθμιστεί σε λειτουργία ομάδας εργασίας^(Workgroup) . Αυτό μπορεί να έχει επιπτώσεις στην ασφάλεια και, ως εκ τούτου, θα πρέπει να ρυθμίσουμε τα Windows^(Windows) ώστε να εντοπίζουν τις δραστηριότητες των χρηστών.

Διαμορφώνοντας τις παραμέτρους των Windows^(Windows) για την παρακολούθηση των δραστηριοτήτων των χρηστών, μπορούμε να αυξήσουμε την ασφάλεια της διαχείρισης και μπορούμε επίσης να τιμωρήσουμε τους χρήστες-θύματα παρατηρώντας τα αρχεία τους σε περίπτωση παράβασης. Σε αυτό το άρθρο, θα σας πούμε τον τρόπο παρακολούθησης των δραστηριοτήτων των χρηστών στα Windows 11/10/8.1/8/7 χρησιμοποιώντας Πολιτική ελέγχου. Να πώς:

Παρακολούθηση δραστηριότητας χρήστη^{(Track User Activity)} χρησιμοποιώντας Πολιτική ελέγχου στη λειτουργία ομάδας εργασίας^{(WorkGroup Mode)}

1. Πατήστε συνδυασμός Windows Key + R , πληκτρολογήστε put secpol.msc στο  πλαίσιο διαλόγου Εκτέλεση και πατήστε ^(Run)Enter για να ανοίξετε την Τοπική Πολιτική Ασφαλείας^{(Local Security Policy)} .

2. Στο παράθυρο Τοπική πολιτική ασφαλείας^{(Local Security Policy)} , αναπτύξτε τις Ρυθμίσεις ασφαλείας^{(Security Settings)} > Τοπικές πολιτικές^{(Local Policies)} > Πολιτική ελέγχου^{(Audit Policy)} . Τώρα πρέπει να κάνετε το παράθυρό σας να μοιάζει με αυτό:

3. Στο δεξιό τμήμα του παραθύρου, μπορείτε να δείτε 9 Έλεγχος…[]^(Audit…[]) οι πολιτικές δεν έχουν έλεγχο^{(No auditing)} ως προκαθορισμένη^{(pre-defined)} ρύθμιση ασφαλείας. Κάντε κλικ μία^{(Click one)} προς μία σε όλες τις πολιτικές και κάντε την επιλογή Επιτυχία^(Success) και αποτυχία^(Failure) , κάντε κλικ στην επιλογή Εφαρμογή^{( Apply)} ακολουθούμενη από OK για κάθε πολιτική.

Με αυτόν τον τρόπο, θα έχουμε διαμορφώσει τα Windows^(Windows) ώστε να παρακολουθούν τη δραστηριότητα των χρηστών.

Ακολουθήστε αυτά τα βήματα για να λάβετε τις εγγραφές ανίχνευσης:

Παρακολούθηση δραστηριότητας χρήστη με χρήση του προγράμματος προβολής συμβάντων^{(Trace User Activity Using Event Viewer)}

1. Πατήστε συνδυασμός Windows Key + R , πληκτρολογήστε put  eventvwr στο  πλαίσιο διαλόγου Run και πατήστε ^(Run)Enter για να ανοίξετε το Event Viewer .

2. Τώρα, στο παράθυρο Προβολή συμβάντων^{(Event Viewe)} r, από το αριστερό παράθυρο, επιλέξτε Αρχεία καταγραφής Windows^{(Windows Logs)} > Ασφάλεια^(Security) . Εδώ τα Windows διατηρούν αρχείο για κάθε συμβάν που αφορά την ασφάλεια.

3. Από το κεντρικό παράθυρο, κάντε κλικ σε οποιοδήποτε συμβάν για να λάβετε τις πληροφορίες του:

Τώρα, εδώ είναι η λίστα με τα αναγνωριστικά^(IDs) συμβάντων που καλύπτει τις δραστηριότητες των χρηστών για τους λογαριασμούς στη λειτουργία ομάδας εργασίας:

1. Δημιουργία χρήστη:^{(Create User:)} Παρακάτω είναι τα αναγνωριστικά συμβάντων^{(Event IDs)} που καταγράφονται όταν δημιουργείται ο χρήστης.

• Αναγνωριστικό εκδήλωσης:^{(Event ID: )} 4728 | Τύπος:^{(Type: )} Επιτυχία ελέγχου | Κατηγορία:^{(Category: )} Διαχείριση Ομάδας Ασφαλείας | Περιγραφή:^{(Description: )} Ένα μέλος προστέθηκε σε μια παγκόσμια ομάδα με δυνατότητα ασφάλειας.

• Αναγνωριστικό εκδήλωσης:^{(Event ID: )} 4720 | Τύπος:^{(Type: )} Επιτυχία ελέγχου | Κατηγορία:^{(Category: )} Διαχείριση λογαριασμού χρήστη | Περιγραφή:^{(Description: )} Δημιουργήθηκε ένας λογαριασμός χρήστη.

• Αναγνωριστικό συμβάντος:^{(Event ID: )} 4722 | Τύπος:^{(Type: )} Επιτυχία ελέγχου | Κατηγορία:^{(Category: )} Διαχείριση λογαριασμού χρήστη | Περιγραφή:^{(Description: )} Ένας λογαριασμός χρήστη ενεργοποιήθηκε.

• Αναγνωριστικό συμβάντος:^{(Event ID: )} 4738 | Τύπος:^{(Type: )} Έλεγχος επιτυχίας | Κατηγορία:^{(Category: )} Διαχείριση λογαριασμού χρήστη | Περιγραφή:^{(Description: )} Ένας λογαριασμός χρήστη άλλαξε.

• Αναγνωριστικό εκδήλωσης:^{(Event ID: )} 4732 | Τύπος:^{(Type: )} Έλεγχος επιτυχίας | Κατηγορία: ^{(Category: )} Διαχείριση Ομάδας Ασφαλείας | Περιγραφή:^{(Description: )} Ένα μέλος προστέθηκε σε μια τοπική ομάδα με δυνατότητα ασφάλειας.

2. Διαγραφή χρήστη:^{(Delete User: )} Παρακάτω είναι τα αναγνωριστικά συμβάντων^{(Event IDs)} που καταγράφονται όταν ο χρήστης διαγράφεται.

• Αναγνωριστικό συμβάντος:^{(Event ID: )} 4733 | Τύπος:^{(Type: )} Έλεγχος επιτυχίας | Κατηγορία: ^{(Category: )} Διαχείριση Ομάδας Ασφαλείας | Περιγραφή:^{(Description: )} Ένα μέλος αφαιρέθηκε από μια τοπική ομάδα με δυνατότητα ασφάλειας.

• Αναγνωριστικό συμβάντος:^{(Event ID: )} 4729 | Τύπος:^{(Type: )} Έλεγχος επιτυχίας | Κατηγορία: ^{(Category: )} Διαχείριση Ομάδας Ασφαλείας | Περιγραφή:^{(Description: )} Ένα μέλος προστέθηκε σε μια παγκόσμια ομάδα με δυνατότητα ασφάλειας.

• Αναγνωριστικό εκδήλωσης:^{(Event ID: )} 4726 | Τύπος:^{( Type: )} Έλεγχος επιτυχίας | Κατηγορία: ^{(Category: )} Διαχείριση λογαριασμού χρήστη | Περιγραφή:^{(Description: )} Ένας λογαριασμός χρήστη διαγράφηκε.

3. Απενεργοποιημένος λογαριασμός χρήστη:^{(User Account Disabled: )} Ακολουθούν τα αναγνωριστικά συμβάντων^{(Event IDs)} που καταγράφονται όταν ο χρήστης είναι απενεργοποιημένος.

• Αναγνωριστικό εκδήλωσης:^{(Event ID: )} 4725 | Τύπος:^{(Type: )} Έλεγχος επιτυχίας | Κατηγορία: ^{(Category: )} Διαχείριση λογαριασμού χρήστη | Περιγραφή:^{(Description: )} Ένας λογαριασμός χρήστη απενεργοποιήθηκε.

• Αναγνωριστικό συμβάντος:^{(Event ID: )} 4738 | Τύπος:^{(Type: )} Έλεγχος επιτυχίας | Κατηγορία: ^{(Category: )} Διαχείριση λογαριασμού χρήστη | Περιγραφή:^{(Description: )} Ένας λογαριασμός χρήστη άλλαξε.

4. Ενεργοποιημένος λογαριασμός χρήστη:^{(User Account Enabled: )} Παρακάτω είναι τα αναγνωριστικά συμβάντων^{(Event IDs)} που καταγράφονται όταν ο χρήστης είναι ενεργοποιημένος.

• Αναγνωριστικό συμβάντος:^{(Event ID: )} 4722 | Τύπος:^{(Type: )} Έλεγχος επιτυχίας | Κατηγορία: ^{(Category: )} Διαχείριση λογαριασμού χρήστη | Περιγραφή:^{(Description: )} Ένας λογαριασμός χρήστη ενεργοποιήθηκε.

• Αναγνωριστικό συμβάντος:^{(Event ID: )} 4738 | Τύπος:^{(Type: )} Έλεγχος επιτυχίας | Κατηγορία: ^{(Category: )} Διαχείριση λογαριασμού χρήστη | Περιγραφή:^{(Description: )} Ένας λογαριασμός χρήστη άλλαξε.

5. Επαναφορά κωδικού πρόσβασης λογαριασμού χρήστη:^{(User Account Password Reset: )} Παρακάτω είναι τα αναγνωριστικά συμβάντων^{(Event IDs)} που καταγράφονται όταν γίνεται επαναφορά του κωδικού πρόσβασης λογαριασμού χρήστη .^{(User Account Password)}

• Αναγνωριστικό συμβάντος:^{(Event ID: )} 4738 | Τύπος:^{(Type: )} Έλεγχος επιτυχίας | Κατηγορία: ^{(Category: )} Διαχείριση λογαριασμού χρήστη | Περιγραφή:^{(Description: )} Ένας λογαριασμός χρήστη άλλαξε.

• Αναγνωριστικό εκδήλωσης:^{(Event ID: )} 4724 | Τύπος:^{(Type: )} Έλεγχος επιτυχίας | Κατηγορία: ^{(Category: )} Διαχείριση λογαριασμού χρήστη | Περιγραφή:^{(Description: )} Έγινε προσπάθεια επαναφοράς του κωδικού πρόσβασης ενός λογαριασμού.

6. Σύνολο διαδρομής προφίλ λογαριασμού χρήστη: ^{(User Account Profile Path Set: )}Παρακάτω^(Below) είναι το αναγνωριστικό συμβάντος^{(Event ID)} που καταγράφεται όταν ορίζεται η διαδρομή προφίλ^{(Profile Path)} για έναν λογαριασμό χρήστη.

• Αναγνωριστικό συμβάντος:^{(Event ID: )} 4738 | Τύπος:^{(Type: )} Έλεγχος επιτυχίας | Κατηγορία: ^{(Category: )} Διαχείριση λογαριασμού χρήστη | Περιγραφή:^{(Description: )} Ένας λογαριασμός χρήστη άλλαξε.

7. Μετονομασία λογαριασμού χρήστη:^{(User Account Rename: )} Παρακάτω είναι τα αναγνωριστικά συμβάντων^{(Event IDs)} που καταγράφονται όταν μετονομάζεται ο λογαριασμός χρήστη .^{(User Account)}

•  Αναγνωριστικό συμβάντος:^{(Event ID: )} 4781 | Τύπος:^{(Type: )} Έλεγχος επιτυχίας | Κατηγορία: ^{(Category: )} Διαχείριση λογαριασμού χρήστη | Περιγραφή:^{(Description: )} Το όνομα ενός λογαριασμού άλλαξε.

• Αναγνωριστικό συμβάντος:^{(Event ID: )} 4738 | Type: Έλεγχος επιτυχίας | Κατηγορία: ^{(Category: )} Διαχείριση λογαριασμού χρήστη | Περιγραφή:^{(Description: )} Ένας λογαριασμός χρήστη άλλαξε.

8. Δημιουργία τοπικής ομάδας:^{(Create Local Group: )} Παρακάτω είναι τα αναγνωριστικά συμβάντων^{(Event IDs)} που καταγράφονται όταν δημιουργείται η Τοπική ομάδα^{(Local Group)} .

• Αναγνωριστικό συμβάντος:^{(Event ID: )} 4731 | Τύπος:^{(Type: )} Έλεγχος επιτυχίας | Κατηγορία: ^{(Category: )} Διαχείριση Ομάδας Ασφαλείας | Περιγραφή:^{(Description: )} Δημιουργήθηκε μια τοπική ομάδα με δυνατότητα ασφάλειας

• Αναγνωριστικό συμβάντος:^{(Event ID: )} 4735 | Τύπος:^{(Type: )} Έλεγχος επιτυχίας | Κατηγορία: ^{(Category: )} Διαχείριση Ομάδας Ασφαλείας | Περιγραφή:^{(Description: )} Μια τοπική ομάδα με δυνατότητα ασφάλειας άλλαξε

9. Προσθήκη χρήστη στην τοπική ομάδα: ^{(Add User to Local Group: )}Παρακάτω^(Below) είναι το αναγνωριστικό συμβάντος^{(Event ID)} που καταγράφεται όταν ο χρήστης προστεθεί στην Τοπική^(Local) ομάδα.

• Αναγνωριστικό εκδήλωσης:^{(Event ID: )} 4732 | Τύπος:^{(Type: )} Έλεγχος επιτυχίας | Κατηγορία: ^{(Category: )} Διαχείριση Ομάδας Ασφαλείας | Περιγραφή:^{(Description: )} Ένα μέλος προστέθηκε σε μια τοπική ομάδα με δυνατότητα ασφάλειας

10. Κατάργηση χρήστη από την τοπική ομάδα: ^{(Remove User from Local Group: )}Παρακάτω^(Below) είναι το  Αναγνωριστικό συμβάντος^{(Event ID)} που καταγράφεται όταν ο χρήστης αφαιρείται από την Τοπική^(Local) ομάδα.

• Αναγνωριστικό συμβάντος:^{(Event ID: )} 4733 | Τύπος:^(Type:) Έλεγχος επιτυχίας | Κατηγορία:^(Category:)  Διαχείριση Ομάδας Ασφαλείας | Περιγραφή:^{(Description:)} Ένα μέλος αφαιρέθηκε από μια τοπική ομάδα με δυνατότητα ασφάλειας

11. Διαγραφή τοπικής ομάδας: ^{(Delete Local Group: )}Παρακάτω^(Below) εμφανίζεται το αναγνωριστικό συμβάντος^{(Event ID)} που καταγράφεται όταν διαγράφεται η Τοπική ομάδα .^{(Local Group)}

• Αναγνωριστικό συμβάντος:^{(Event ID: )} 4734 | Τύπος:^{(Type: )} Έλεγχος επιτυχίας | Κατηγορία: ^{(Category: )} Διαχείριση Ομάδας Ασφαλείας | Περιγραφή:^{(Description: )} Μια τοπική ομάδα με δυνατότητα ασφάλειας διαγράφηκε

12. Μετονομασία τοπικής ομάδας:^{(Rename Local Group: )} Παρακάτω είναι τα αναγνωριστικά συμβάντων^{(Event IDs)} που καταγράφονται όταν μετονομάζεται η Τοπική ομάδα .^{(Local Group)}

• Αναγνωριστικό συμβάντος:^{(Event ID: )} 4781 | Τύπος:^{(Type: )} Έλεγχος επιτυχίας | Κατηγορία: ^{(Category: )} Διαχείριση λογαριασμού χρήστη | Περιγραφή:^{(Description: )} Το όνομα ενός λογαριασμού άλλαξε

• Αναγνωριστικό συμβάντος:^{(Event ID: )} 4735 | Τύπος:^{(Type: )} Έλεγχος επιτυχίας | Κατηγορία: ^{(Category: )} Διαχείριση Ομάδας Ασφαλείας | Περιγραφή:^{(Description: )} Μια τοπική ομάδα με δυνατότητα ασφάλειας άλλαξε

Με αυτόν τον τρόπο, μπορείτε να παρακολουθείτε τους χρήστες με τις δραστηριότητές τους. Αυτό το άρθρο ισχύει για Windows 11/10/8.1 σε λειτουργία ομάδας εργασίας^{(Workgroup Mode)} . Για τον τομέα Active Directory^{(Directory Domain)} , η διαδικασία θα είναι διαφορετική.

How to track User Activity in WorkGroup Mode on Windows 11/10

Multi-user funсtionаlity in Windows has enabled us to use it conveniently in public places like schools, colleges, offices, etc. At these places, there is generally an administrator, who manages to keep an eye on the activities of users working therein. Sometimes, users go beyond their limits and modify accounts configured in Workgroup mode. This can have security repercussions, and thus we should configure Windows to track down user activities.

By configuring Windows for monitoring user activities, we can increase the security of the administration and can also punish the victim users by observing their records in case of an offense. In this article, we’ll tell you the way to track user activities in Windows 11/10/8.1/8/7 using Audit Policy. Here is how:

Track User Activity using Audit Policy in WorkGroup Mode

1. Press Windows Key + R combination, type put secpol.msc in Run dialog box and hit Enter to open the Local Security Policy.

2. In the Local Security Policy window, expand Security Settings > Local Policies > Audit Policy. Now you should get your window resembled with this one:

3. In the right pane, you can see 9 Audit…[] policies have No auditing as pre-defined security setting. Click one by one all the policies and make the selection to Success and Failure, click Apply followed by OK for each policy.

In this way, we will have configured Windows to track down user activity.

Follow these steps to get the traced records:

Trace User Activity Using Event Viewer

1. Press Windows Key + R combination, type put eventvwr in Run dialog box and hit Enter to open the Event Viewer.

2. Now, in the Event Viewer window, from the left pane, select Windows Logs > Security. Here Windows keeps a record of every event concerning security.

3. From the center pane, click any event to get its info:

Now, here is the list of the event IDs which covers the user activities for the accounts in the workgroup mode:

1. Create User: Below are the Event IDs that get logged when the user is created.

• Event ID: 4728 | Type: Audit Success | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4720 | Type: Audit Success | Category: User Account Management | Description: A User account was created.

• Event ID: 4722 | Type: Audit Success | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group.

2. Delete User: Below are the Event IDs that get logged when the user is deleted.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group.

• Event ID: 4729 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4726 | Type: Success Audit | Category: User Account Management | Description: A User account was deleted.

3. User Account Disabled: Below are the Event IDs that get logged when the user is disabled.

• Event ID: 4725 | Type: Success Audit | Category: User Account Management | Description: A User account was disabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

4. User Account Enabled: Below are the Event IDs that get logged when the user is enabled.

• Event ID: 4722 | Type: Success Audit | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

5. User Account Password Reset: Below are the Event IDs that get logged when the User Account Password gets reset.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4724 | Type: Success Audit | Category: User Account Management | Description: An attempt was made to reset an account’s password.

6. User Account Profile Path Set: Below is the Event ID that gets logged when Profile Path gets set for a user account.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

7. User Account Rename: Below are the Event IDs that get logged when the User Account is renamed.

•  Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: The name of an account was changed.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User Account was changed.

8. Create Local Group: Below are the Event IDs that get logged when the Local Group is created.

• Event ID: 4731 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was created

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

9. Add User to Local Group: Below is the Event ID that gets logged when the user gets added to the Local group.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group

10. Remove User from Local Group: Below is the Event ID that gets logged when the user is removed from the Local group.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group

11. Delete Local Group: Below is the Event ID that gets logged when the Local Group is deleted.

• Event ID: 4734 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was deleted

12. Rename Local Group: Below are the Event IDs that get logged when the Local Group is renamed.

• Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: A name of an account was changed

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

In this way, you can trace users with their activities. This article is applicable for Windows 11/10/8.1 in Workgroup Mode. For Active Directory Domain, the procedure will be different.

Related posts

• Διαγράψτε αυτόματα παλιά προφίλ χρήστη και αρχεία στα Windows 11/10

• Πώς να προσθέσετε το πρόγραμμα επεξεργασίας πολιτικής ομάδας στα Windows 11/10 Home Edition

• Πώς να ενεργοποιήσετε ή να απενεργοποιήσετε τις μακριές διαδρομές Win32 στα Windows 11/10

• Πώς να απενεργοποιήσετε την επιλογή Είσοδος με κωδικό πρόσβασης εικόνας στα Windows 11/10

• Πώς να καθορίσετε το ελάχιστο και το μέγιστο μήκος PIN στα Windows 11/10

• Πώς να ενεργοποιήσετε την καταγραφή του Windows Installer στα Windows 10

• Πώς να αποτρέψετε τους χρήστες από τη διαγραφή διαγνωστικών δεδομένων στα Windows 11/10

• Ενεργοποιήστε το μενού "Έναρξη πλήρους οθόνης" χρησιμοποιώντας Πολιτική ομάδας ή Μητρώο στα Windows

• Η πολιτική ομάδας φόντου επιφάνειας εργασίας δεν εφαρμόζεται στα Windows 11/10

• Η υπηρεσία εξάρτησης ή η ομάδα απέτυχε να ξεκινήσει στα Windows 11/10

• Αποτρέψτε τους χρήστες να αλλάξουν την ημερομηνία και την ώρα στα Windows 11/10

• Τρόπος παρακολούθησης της δραστηριότητας υπολογιστή και χρήστη των Windows

• Δημιουργήστε λογαριασμό τοπικού διαχειριστή στα Windows 11/10 χρησιμοποιώντας CMD

• Πώς να ανακτήσετε το διαγραμμένο προφίλ λογαριασμού χρήστη στα Windows 11/10

• Αλλαγή της μονάδας προσωρινής μνήμης βελτιστοποίησης παράδοσης για ενημερώσεις των Windows

• Ανακατεύθυνση τοποθεσιών από τον IE στον Microsoft Edge χρησιμοποιώντας την Πολιτική ομάδας στα Windows 10

• Οδηγός αναφοράς ρυθμίσεων πολιτικής ομάδας για Windows 10

• Δημιουργία αντιγράφων ασφαλείας/Επαναφορά ή Εισαγωγή/Εξαγωγή ρυθμίσεων πολιτικής ομάδας στα Windows 11/10

• Αλλαγή του Windows Update Delivery Optimization Μέγιστη ηλικία προσωρινής αποθήκευσης

• Πώς να ενεργοποιήσετε ή να απενεργοποιήσετε τη βελτιστοποίηση γρήγορης σύνδεσης στα Windows 11/10