Cách theo dõi Hoạt động của Người dùng trong Chế độ Nhóm làm việc trên Windows 10

Chức năng nhiều người dùng trong Windows đã cho phép chúng tôi sử dụng nó một cách thuận tiện ở những nơi công cộng như trường học, cao đẳng, văn phòng, ... Tại những nơi này, thường có một quản trị viên, người quản lý để theo dõi các hoạt động của người dùng làm việc tại đó. Đôi khi, người dùng vượt quá giới hạn của họ và sửa đổi các tài khoản được định cấu hình ở chế độ Nhóm làm việc. Điều này có thể gây ra hậu quả về bảo mật và do đó chúng ta nên định cấu hình Windows để theo dõi các hoạt động của người dùng.

Bằng cách cấu hình Windows để giám sát các hoạt động của người dùng, chúng tôi có thể tăng cường bảo mật cho cơ quan quản lý và cũng có thể trừng phạt những người dùng là nạn nhân bằng cách quan sát hồ sơ của họ trong trường hợp vi phạm. Trong bài viết này, chúng tôi sẽ cho bạn biết cách theo dõi hoạt động của người dùng trong Windows 11/10 / 8.1 / 8/7 sử dụng Chính sách kiểm toán. Đây là cách thực hiện:

Theo dõi hoạt động của người dùng bằng Chính sách kiểm tra trong Chế độ nhóm làm việc

1. Nhấn Phím Windows + R kết hợp, nhập put secpol.msc trong Chạy hộp thoại và nhấn Enter để mở Chính sách bảo mật cục bộ .

2. Trong Chính sách bảo mật cục bộ mở rộng Cài đặt bảo mật > Chính sách địa phương > Chính sách kiểm tra . Bây giờ bạn sẽ có được cửa sổ của mình giống với cửa sổ này:

3. Trong ngăn bên phải, bạn có thể thấy 9 Kiểm tra… [] các chính sách Không có kiểm toán như được xác định trước cài đặt bảo mật. Nhấp vào từng chính sách một và thực hiện lựa chọn Thành công và Không thành công , nhấp vào Áp dụng tiếp theo là OK cho từng chính sách.

Bằng cách này, chúng tôi sẽ định cấu hình Windows để theo dõi hoạt động của người dùng.

Thực hiện theo các bước sau để lấy các bản ghi đã theo dõi:

Theo dõi hoạt động của người dùng bằng trình xem sự kiện

1. Nhấn Phím Windows + R kết hợp, nhập put eventvwr trong Chạy hộp thoại và nhấn Enter để mở Trình xem sự kiện .

2. Bây giờ, trong Chế độ xem sự kiện cửa sổ r, từ ngăn bên trái, chọn Nhật ký Windows > Bảo mật . Tại đây Windows lưu giữ bản ghi mọi sự kiện liên quan đến bảo mật.

3. Từ ngăn trung tâm, hãy nhấp vào bất kỳ sự kiện nào để nhận thông tin của nó:

Bây giờ, đây là danh sách các ID sự kiện bao gồm các hoạt động của người dùng cho các tài khoản ở chế độ nhóm làm việc:

1. Tạo người dùng: Dưới đây là các ID sự kiện được ghi lại khi người dùng được tạo.

• ID sự kiện: 4728 | Loại: Kiểm toán thành công | Danh mục: Quản lý nhóm bảo mật | Mô tả: Một thành viên đã được thêm vào nhóm toàn cầu có hỗ trợ Bảo mật.

• ID sự kiện: 4720 | Loại: Kiểm toán thành công | Danh mục: Quản lý tài khoản người dùng | Mô tả: Một tài khoản Người dùng đã được tạo.

• ID sự kiện: 4722 | Loại: Kiểm toán thành công | Danh mục: Quản lý tài khoản người dùng | Mô tả: Một tài khoản người dùng đã được kích hoạt.

• ID sự kiện: 4738 | Loại: Kiểm toán thành công | Danh mục: Quản lý tài khoản người dùng | Mô tả: Một tài khoản Người dùng đã được thay đổi.

• ID sự kiện: 4732 | Loại: Kiểm toán thành công | Danh mục: Quản lý nhóm bảo mật | Mô tả: Một thành viên đã được thêm vào nhóm cục bộ có hỗ trợ Bảo mật.

2. Xóa người dùng: Dưới đây là các ID sự kiện được ghi lại khi người dùng bị xóa.

• ID sự kiện: 4733 | Loại: Kiểm toán thành công | Danh mục: Quản lý nhóm bảo mật | Mô tả: Một thành viên đã bị xóa khỏi nhóm cục bộ có hỗ trợ Bảo mật.

• ID sự kiện: 4729 | Loại: Kiểm toán thành công | Danh mục: Quản lý nhóm bảo mật | Mô tả: Một thành viên đã được thêm vào nhóm toàn cầu có hỗ trợ Bảo mật.

• ID sự kiện: 4726 | Loại: Kiểm toán thành công | Danh mục: Quản lý tài khoản người dùng | Mô tả: Một tài khoản Người dùng đã bị xóa.

3. Tài khoản người dùng bị vô hiệu hóa: Dưới đây là các ID sự kiện được ghi lại khi người dùng bị vô hiệu hóa.

• ID sự kiện: 4725 | Loại: Kiểm toán thành công | Danh mục: Quản lý tài khoản người dùng | Mô tả: Một tài khoản người dùng đã bị vô hiệu hóa.

• ID sự kiện: 4738 | Loại: Kiểm toán thành công | Danh mục: Quản lý tài khoản người dùng | Mô tả: Một tài khoản Người dùng đã được thay đổi.

4. Tài khoản người dùng được bật: Dưới đây là các ID sự kiện được ghi lại khi người dùng được bật.

• ID sự kiện: 4722 | Loại: Kiểm toán thành công | Danh mục: Quản lý tài khoản người dùng | Mô tả: Một tài khoản người dùng đã được kích hoạt.

• ID sự kiện: 4738 | Loại: Kiểm toán thành công | Danh mục: Quản lý tài khoản người dùng | Mô tả: Một tài khoản Người dùng đã được thay đổi.

5. Đặt lại mật khẩu tài khoản người dùng: Dưới đây là các ID sự kiện được ghi lại khi Mật khẩu tài khoản người dùng được đặt lại.

• ID sự kiện: 4738 | Loại: Kiểm toán thành công | Danh mục: Quản lý tài khoản người dùng | Mô tả: Một tài khoản Người dùng đã được thay đổi.

• ID sự kiện: 4724 | Loại: Kiểm toán thành công | Danh mục: Quản lý tài khoản người dùng | Mô tả: Chúng tôi đã cố gắng đặt lại mật khẩu của tài khoản.

6. Bộ đường dẫn hồ sơ tài khoản người dùng: Dưới đây là ID sự kiện được ghi lại khi Đường dẫn hồ sơ được đặt cho tài khoản người dùng.

• ID sự kiện: 4738 | Loại: Kiểm toán thành công | Danh mục: Quản lý tài khoản người dùng | Mô tả: Một tài khoản Người dùng đã được thay đổi.

7. Đổi tên tài khoản người dùng: Dưới đây là các ID sự kiện được ghi lại khi Tài khoản người dùng được đổi tên.

• ID sự kiện: 4781 | Loại: Kiểm toán thành công | Danh mục: Quản lý tài khoản người dùng | Mô tả: Tên của một tài khoản đã được thay đổi.

• ID sự kiện: 4738 | Loại: Kiểm toán thành công | Danh mục: Quản lý tài khoản người dùng | Mô tả: Một Tài khoản Người dùng đã được thay đổi.

8. Tạo Nhóm cục bộ: Dưới đây là các ID sự kiện được ghi lại khi tạo Nhóm cục bộ.

• ID sự kiện: 4731 | Loại: Kiểm toán thành công | Danh mục: Quản lý nhóm bảo mật | Mô tả: Một nhóm cục bộ có hỗ trợ Bảo mật đã được tạo

• ID sự kiện: 4735 | Loại: Kiểm toán thành công | Danh mục: Quản lý nhóm bảo mật | Mô tả: Một nhóm cục bộ hỗ trợ Bảo mật đã được thay đổi

9. Thêm người dùng vào nhóm cục bộ: Dưới đây là ID sự kiện được ghi lại khi người dùng được thêm vào nhóm Cục bộ.

• ID sự kiện: 4732 | Loại: Kiểm toán thành công | Danh mục: Quản lý nhóm bảo mật | Mô tả: Một thành viên đã được thêm vào nhóm cục bộ có hỗ trợ Bảo mật

10. Xóa người dùng khỏi Nhóm cục bộ: Dưới đây là ID sự kiện được ghi lại khi người dùng bị xóa khỏi nhóm Cục bộ.

• ID sự kiện: 4733 | Loại: Kiểm toán thành công | Danh mục: Quản lý nhóm bảo mật | Mô tả: Một thành viên đã bị xóa khỏi nhóm cục bộ có hỗ trợ Bảo mật

11. Xóa Nhóm cục bộ: Dưới đây là ID sự kiện được ghi lại khi Nhóm cục bộ bị xóa.

• ID sự kiện: 4734 | Loại: Kiểm toán thành công | Danh mục: Quản lý nhóm bảo mật | Mô tả: Một nhóm cục bộ có hỗ trợ Bảo mật đã bị xóa

12. Đổi tên Nhóm cục bộ: Dưới đây là các ID sự kiện được ghi lại khi Nhóm cục bộ được đổi tên.

• ID sự kiện: 4781 | Loại: Kiểm toán thành công | Danh mục: Quản lý tài khoản người dùng | Mô tả: Tên của một tài khoản đã được thay đổi

• ID sự kiện: 4735 | Loại: Kiểm toán thành công | Danh mục: Quản lý nhóm bảo mật | Mô tả: Một nhóm cục bộ hỗ trợ Bảo mật đã được thay đổi

Bằng cách này, bạn có thể theo dõi người dùng với các hoạt động của họ. Bài viết này có thể áp dụng cho Windows 11/10 / 8.1 ở Chế độ nhóm làm việc. Đối với Miền Active Directory, quy trình sẽ khác.