Вишекорисничка функционалност у Виндовс^(Windows) -у нам је омогућила да га практично користимо на јавним местима као што су школе, факултети, канцеларије итд. На овим местима углавном постоји администратор, који успева да прати активности корисника који тамо раде. Понекад корисници прелазе своја ограничења и мењају налоге конфигурисане у режиму радне групе . ^(Workgroup)Ово може имати безбедносне последице, па би требало да конфигуришемо Виндовс^(Windows) да прати активности корисника.

Конфигурисањем Виндовс^(Windows) -а за праћење активности корисника можемо повећати сигурност администрације, а можемо и казнити кориснике жртве праћењем њихове евиденције у случају прекршаја. У овом чланку ћемо вам рећи како да пратите активности корисника у Windows 11/10/8.1/8/7 помоћу смерница ревизије. Ево како:

Пратите активност корисника^{(Track User Activity)} помоћу смерница ревизије у режиму радне групе^{(WorkGroup Mode)}

1. Притисните комбинацију тастера Windows Key + R , откуцајте пут сецпол.мсц^(secpol.msc) у дијалог Покрени^(Run)  и притисните Ентер^(Enter) да бисте отворили Локална безбедносна политика^{(Local Security Policy)} .

2. У прозору Локалне безбедносне политике^{(Local Security Policy)} проширите Безбедносне поставке^{(Security Settings)} > Локалне смернице^{(Local Policies)} > Политика ревизије^{(Audit Policy)} . Сада би требало да ваш прозор личи на овај:

3. У десном окну можете видети 9 Политике ⁽⁹⁾ ревизије…[]^(Audit…[]) немају ревизију^{(No auditing)} као унапред дефинисану^{(pre-defined)} безбедносну поставку. Кликните једну^{(Click one)} по једну на све смернице и изаберите Успех^(Success) и неуспех^(Failure) , кликните на Примени^{( Apply)} , а затим на ОК^(OK) за сваку смерницу.

На овај начин ћемо конфигурисати Виндовс^(Windows) да прати активности корисника.

Пратите ове кораке да бисте добили праћене записе:

Праћење активности корисника помоћу прегледача догађаја^{(Trace User Activity Using Event Viewer)}

1. Притисните комбинацију тастера Windows Key + R , откуцајте пут  евентввр^(eventvwr) у дијалогу Покрени^(Run)  и притисните Ентер^(Enter) да бисте отворили приказивач догађаја^{(Event Viewer)} .

2. Сада, у прозору Евент Виеве^{(Event Viewe)} р, у левом окну изаберите Виндовс Логс^{(Windows Logs)} > Сецурити^(Security) . Овде Виндовс води евиденцију о сваком догађају који се тиче безбедности.

3. У средишњем окну кликните на било који догађај да бисте добили информације о њему:

Сада, ево листе ИД^(IDs) -ова догађаја који покривају активности корисника за налоге у режиму радне групе:

1. Креирајте корисника:^{(Create User:)} Испод су ИД-ови догађаја^{(Event IDs)} који се евидентирају када се корисник креира.

• ИД догађаја:^{(Event ID: )} 4728 | Тип:^{(Type: )} Ревизија успеха | Категорија:^{(Category: )} Управљање безбедносним групама | Опис:^{(Description: )} Члан је додат глобалној групи са омогућеном безбедношћу.

• ИД догађаја:^{(Event ID: )} 4720 | Тип:^{(Type: )} Ревизија успеха | Категорија:^{(Category: )} Управљање корисничким налогом | Опис:^{(Description: )} Креиран је кориснички налог.

• ИД догађаја:^{(Event ID: )} 4722 | Тип:^{(Type: )} Ревизија успеха | Категорија:^{(Category: )} Управљање корисничким налогом | Опис:^{(Description: )} Омогућен је кориснички налог.

• ИД догађаја:^{(Event ID: )} 4738 | Тип:^{(Type: )} Ревизија успеха | Категорија:^{(Category: )} Управљање корисничким налогом | Опис:^{(Description: )} Кориснички налог је промењен.

• ИД догађаја:^{(Event ID: )} 4732 | Тип:^{(Type: )} Ревизија успеха | Категорија: ^{(Category: )} Управљање безбедносним групама | Опис:^{(Description: )} Члан је додат локалној групи са омогућеном безбедношћу.

2. Избриши корисника:^{(Delete User: )} Испод су ИД-ови догађаја^{(Event IDs)} који се евидентирају када се корисник избрише.

• ИД догађаја:^{(Event ID: )} 4733 | Тип:^{(Type: )} Ревизија успеха | Категорија: ^{(Category: )} Управљање безбедносним групама | Опис:^{(Description: )} Члан је уклоњен из локалне групе са омогућеном безбедношћу.

• ИД догађаја:^{(Event ID: )} 4729 | Тип:^{(Type: )} Ревизија успеха | Категорија: ^{(Category: )} Управљање безбедносним групама | Опис:^{(Description: )} Члан је додат глобалној групи са омогућеном безбедношћу.

• ИД догађаја:^{(Event ID: )} 4726 | Тип:^{( Type: )} Ревизија успеха | Категорија: ^{(Category: )} Управљање корисничким налогом | Опис:^{(Description: )} Кориснички налог је обрисан.

3. Кориснички налог је онемогућен:^{(User Account Disabled: )} Испод су ИД-ови догађаја^{(Event IDs)} који се евидентирају када је корисник онемогућен.

• ИД догађаја:^{(Event ID: )} 4725 | Тип:^{(Type: )} Ревизија успеха | Категорија: ^{(Category: )} Управљање корисничким налогом | Опис:^{(Description: )} кориснички налог је онемогућен.

• ИД догађаја:^{(Event ID: )} 4738 | Тип:^{(Type: )} Ревизија успеха | Категорија: ^{(Category: )} Управљање корисничким налогом | Опис:^{(Description: )} Кориснички налог је промењен.

4. Омогућен кориснички налог:^{(User Account Enabled: )} Испод су ИД-ови догађаја^{(Event IDs)} који се евидентирају када је корисник омогућен.

• ИД догађаја:^{(Event ID: )} 4722 | Тип:^{(Type: )} Ревизија успеха | Категорија: ^{(Category: )} Управљање корисничким налогом | Опис:^{(Description: )} Омогућен је кориснички налог.

• ИД догађаја:^{(Event ID: )} 4738 | Тип:^{(Type: )} Ревизија успеха | Категорија: ^{(Category: )} Управљање корисничким налогом | Опис:^{(Description: )} Кориснички налог је промењен.

5. Ресетовање лозинке корисничког налога:^{(User Account Password Reset: )} Испод су ИД-ови догађаја^{(Event IDs)} који се евидентирају када се лозинка за кориснички налог^{(User Account Password)} ресетује.

• ИД догађаја:^{(Event ID: )} 4738 | Тип:^{(Type: )} Ревизија успеха | Категорија: ^{(Category: )} Управљање корисничким налогом | Опис:^{(Description: )} Кориснички налог је промењен.

• ИД догађаја:^{(Event ID: )} 4724 | Тип:^{(Type: )} Ревизија успеха | Категорија: ^{(Category: )} Управљање корисничким налогом | Опис:^{(Description: )} Учињен је покушај да се ресетује лозинка налога.

6. Постављена путања профила корисничког налога: ^{(User Account Profile Path Set: )}Испод^(Below) је ИД догађаја^{(Event ID)} који се евидентира када се путања профила^{(Profile Path)} постави за кориснички налог.

• ИД догађаја:^{(Event ID: )} 4738 | Тип:^{(Type: )} Ревизија успеха | Категорија: ^{(Category: )} Управљање корисничким налогом | Опис:^{(Description: )} Кориснички налог је промењен.

7. Преименовање корисничког налога:^{(User Account Rename: )} Испод су ИД-ови догађаја^{(Event IDs)} који се евидентирају када се кориснички налог^{(User Account)} преименује.

•  ИД догађаја:^{(Event ID: )} 4781 | Тип:^{(Type: )} Ревизија успеха | Категорија: ^{(Category: )} Управљање корисничким налогом | Опис:^{(Description: )} Име налога је промењено.

• ИД догађаја:^{(Event ID: )} 4738 | Type: Ревизија успеха | Категорија: ^{(Category: )} Управљање корисничким налогом | Опис:^{(Description: )} Кориснички налог је промењен.

8. Креирајте локалну групу:^{(Create Local Group: )} Испод су ИД-ови догађаја^{(Event IDs)} који се евидентирају када се креира локална група .^{(Local Group)}

• ИД догађаја:^{(Event ID: )} 4731 | Тип:^{(Type: )} Ревизија успеха | Категорија: ^{(Category: )} Управљање безбедносним групама | Опис:^{(Description: )} Креирана је локална група са омогућеном безбедношћу

• ИД догађаја:^{(Event ID: )} 4735 | Тип:^{(Type: )} Ревизија успеха | Категорија: ^{(Category: )} Управљање безбедносним групама | Опис:^{(Description: )} Локална група са омогућеном безбедношћу је промењена

9. Додајте корисника локалној групи: ^{(Add User to Local Group: )}Испод^(Below) је ИД догађаја^{(Event ID)} који се евидентира када се корисник дода у локалну^(Local) групу.

• ИД догађаја:^{(Event ID: )} 4732 | Тип:^{(Type: )} Ревизија успеха | Категорија: ^{(Category: )} Управљање безбедносним групама | Опис:^{(Description: )} Члан је додат локалној групи са омогућеном безбедношћу

10. Уклони корисника из локалне групе: ^{(Remove User from Local Group: )}Испод^(Below) је  ИД догађаја^{(Event ID)} који се евидентира када се корисник уклони из локалне^(Local) групе.

• ИД догађаја:^{(Event ID: )} 4733 | Тип:^(Type:) Ревизија успеха | Категорија:^(Category:)  Управљање безбедносним групама | Опис:^{(Description:)} Члан је уклоњен из локалне групе са омогућеном безбедношћу

11. Избриши локалну групу: ^{(Delete Local Group: )}Испод^(Below) је ИД догађаја^{(Event ID)} који се евидентира када се обрише локална група .^{(Local Group)}

• ИД догађаја:^{(Event ID: )} 4734 | Тип:^{(Type: )} Ревизија успеха | Категорија: ^{(Category: )} Управљање безбедносним групама | Опис:^{(Description: )} Локална група са омогућеном безбедношћу је избрисана

12. Преименујте локалну групу:^{(Rename Local Group: )} Испод су ИД-ови догађаја^{(Event IDs)} који се евидентирају када се локална група^{(Local Group)} преименује.

• ИД догађаја:^{(Event ID: )} 4781 | Тип:^{(Type: )} Ревизија успеха | Категорија: ^{(Category: )} Управљање корисничким налогом | Опис:^{(Description: )} Име налога је промењено

• ИД догађаја:^{(Event ID: )} 4735 | Тип:^{(Type: )} Ревизија успеха | Категорија: ^{(Category: )} Управљање безбедносним групама | Опис:^{(Description: )} Локална група са омогућеном безбедношћу је промењена

На овај начин можете пратити кориснике са њиховим активностима. Овај чланак је применљив за Windows 11/10/8.1 у режиму радне групе^{(Workgroup Mode)} . За домен Ацтиве Дирецтори^{(Directory Domain)} , процедура ће бити другачија.

How to track User Activity in WorkGroup Mode on Windows 11/10

Multi-user functionality in Windows has enabled us to use it conveniently in public places like schools, colleges, offices, etc. At these places, there is generally an administrator, who manages to keep an eye on the activities of users working therein. Sometimes, users go beyond their limits and modify accounts configured in Workgroup mode. This can have security repercussions, and thus we should configure Windows to track down user activities.

By configuring Windows for monitoring user activities, we can increase the security of the administration and can also punish the victim users by observing their records in case of an offense. In this article, we’ll tell you the way to track user activities in Windows 11/10/8.1/8/7 using Audit Policy. Here is how:

Track User Activity using Audit Policy in WorkGroup Mode

1. Press Windows Key + R combination, type put secpol.msc in Run dialog box and hit Enter to open the Local Security Policy.

2. In the Local Security Policy window, expand Security Settings > Local Policies > Audit Policy. Now you should get your window resembled with this one:

3. In the right pane, you can see 9 Audit…[] policies have No auditing as pre-defined security setting. Click one by one all the policies and make the selection to Success and Failure, click Apply followed by OK for each policy.

In this way, we will have configured Windows to track down user activity.

Follow these steps to get the traced records:

Trace User Activity Using Event Viewer

1. Press Windows Key + R combination, type put eventvwr in Run dialog box and hit Enter to open the Event Viewer.

2. Now, in the Event Viewer window, from the left pane, select Windows Logs > Security. Here Windows keeps a record of every event concerning security.

3. From the center pane, click any event to get its info:

Now, here is the list of the event IDs which covers the user activities for the accounts in the workgroup mode:

1. Create User: Below are the Event IDs that get logged when the user is created.

• Event ID: 4728 | Type: Audit Success | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4720 | Type: Audit Success | Category: User Account Management | Description: A User account was created.

• Event ID: 4722 | Type: Audit Success | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group.

2. Delete User: Below are the Event IDs that get logged when the user is deleted.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group.

• Event ID: 4729 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4726 | Type: Success Audit | Category: User Account Management | Description: A User account was deleted.

3. User Account Disabled: Below are the Event IDs that get logged when the user is disabled.

• Event ID: 4725 | Type: Success Audit | Category: User Account Management | Description: A User account was disabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

4. User Account Enabled: Below are the Event IDs that get logged when the user is enabled.

• Event ID: 4722 | Type: Success Audit | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

5. User Account Password Reset: Below are the Event IDs that get logged when the User Account Password gets reset.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4724 | Type: Success Audit | Category: User Account Management | Description: An attempt was made to reset an account’s password.

6. User Account Profile Path Set: Below is the Event ID that gets logged when Profile Path gets set for a user account.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

7. User Account Rename: Below are the Event IDs that get logged when the User Account is renamed.

•  Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: The name of an account was changed.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User Account was changed.

8. Create Local Group: Below are the Event IDs that get logged when the Local Group is created.

• Event ID: 4731 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was created

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

9. Add User to Local Group: Below is the Event ID that gets logged when the user gets added to the Local group.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group

10. Remove User from Local Group: Below is the Event ID that gets logged when the user is removed from the Local group.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group

11. Delete Local Group: Below is the Event ID that gets logged when the Local Group is deleted.

• Event ID: 4734 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was deleted

12. Rename Local Group: Below are the Event IDs that get logged when the Local Group is renamed.

• Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: A name of an account was changed

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

In this way, you can trace users with their activities. This article is applicable for Windows 11/10/8.1 in Workgroup Mode. For Active Directory Domain, the procedure will be different.

Related posts

• Аутоматски избришите старе корисничке профиле и датотеке у оперативном систему Виндовс 11/10

• Како додати уређивач групних политика у Виндовс 11/10 Хоме Едитион

• Како омогућити или онемогућити Вин32 дуге путање у оперативном систему Виндовс 11/10

• Како онемогућити опцију за пријаву са лозинком за слике у оперативном систему Виндовс 11/10

• Како одредити минималну и максималну дужину ПИН-а у оперативном систему Виндовс 11/10

• Како опоравити избрисани профил корисничког налога у оперативном систему Виндовс 11/10

• Како закључати све поставке траке задатака у оперативном систему Виндовс 10

• Промените максималну старост кеша за оптимизацију испоруке Виндовс Упдате

• Преусмерите сајтове из ИЕ у Мицрософт Едге помоћу смерница групе у оперативном систему Виндовс 10

• Зауставите Виндовс 10 да претходно учитава Мицрософт Едге при покретању

• Како омогућити или онемогућити оптимизацију брзог пријављивања у Виндовс 11/10

• Креирајте налог локалног администратора на Виндовс 11/10 користећи ЦМД

• Услуга или група зависности нису успели да се покрену у оперативном систему Виндовс 11/10

• Спречите кориснике да мењају датум и време у оперативном систему Виндовс 11/10

• Прилагодите екран Цтрл+Алт+Дел користећи смернице групе или регистар у Виндовс-у

• Како спречити кориснике да бришу дијагностичке податке у оперативном систему Виндовс 11/10

• Поставите подразумевану слику за пријаву корисника за све кориснике у оперативном систему Виндовс 11/10

• Како применити смернице групе на неадминистраторе само у оперативном систему Виндовс 10

• Како присилити ажурирање групних смерница у оперативном систему Виндовс 11/10

• Приступите локалном управљању корисницима и групама у оперативном систему Виндовс 11/10 Хоме