Flerbrugerfunktionalitet i Windows har gjort det muligt for os at bruge det bekvemt på offentlige steder som skoler, gymnasier, kontorer osv. På disse steder er der generelt en administrator, som formår at holde øje med brugernes aktiviteter der. Nogle gange går brugere ud over deres grænser og ændrer konti konfigureret i arbejdsgruppetilstand^(Workgroup) . Dette kan have sikkerhedsmæssige konsekvenser, og derfor bør vi konfigurere Windows til at spore brugeraktiviteter.

Ved at konfigurere Windows til overvågning af brugeraktiviteter, kan vi øge sikkerheden i administrationen og kan også straffe ofrets brugere ved at observere deres optegnelser i tilfælde af en lovovertrædelse. I denne artikel fortæller vi dig, hvordan du sporer brugeraktiviteter i Windows 11/10/8.1/8/7 ved hjælp af revisionspolitik. Sådan gør du:

Spor brugeraktivitet^{(Track User Activity)} ved hjælp af revisionspolitik i arbejdsgruppetilstand^{(WorkGroup Mode)}

1. Tryk på Windows Key + R -kombination, skriv put secpol.msc i  dialogboksen Kør og tryk på ^(Run)Enter for at åbne den lokale sikkerhedspolitik^{(Local Security Policy)} .

2. I vinduet Lokal sikkerhedspolitik^{(Local Security Policy)} skal du udvide Sikkerhedsindstillinger^{(Security Settings)} > Lokale politikker^{(Local Policies)} > Revisionspolitik^{(Audit Policy)} . Nu skulle du få dit vindue til at ligne dette:

3. I højre rude kan du se 9 Revision…[]^(Audit…[]) politikker har Ingen revision^{(No auditing)} som foruddefineret^{(pre-defined)} sikkerhedsindstilling. Klik^{(Click one)} på alle politikkerne én efter én, og foretag valget til Succes^(Success) og fiasko^(Failure) , klik på Anvend^{( Apply)} efterfulgt af OK for hver politik.

På denne måde vil vi have konfigureret Windows til at spore brugeraktivitet.

Følg disse trin for at få de sporede poster:

Spor brugeraktivitet ved hjælp af Event Viewer^{(Trace User Activity Using Event Viewer)}

1. Tryk på Windows Key + R -kombination, skriv put  eventvwr i Kør^(Run)  -dialogboksen og tryk på Enter for at åbne Event Viewer .

2. Vælg nu ^(2.)Windows-logfiler^{(Windows Logs)} > Sikkerhed^(Security) i vinduet Event Viewe r i venstre rude . Her registrerer Windows alle hændelser vedrørende sikkerhed.

3. Fra midterruden skal du klikke på en begivenhed for at få oplysninger om den:

Her er listen over begivenheds - id'erne^(IDs) , som dækker brugeraktiviteterne for konti i arbejdsgruppetilstand:

1. Opret bruger:^{(Create User:)} Nedenfor er de hændelses-id'er^{(Event IDs)} , der bliver logget, når brugeren oprettes.

• Begivenheds-id:^{(Event ID: )} 4728 | Type: Revisionssucces | Kategori:^{(Category: )} Sikkerhedsgruppeledelse | Beskrivelse:^{(Description: )} Et medlem blev føjet til en sikkerhedsaktiveret global gruppe.

• Begivenheds-id:^{(Event ID: )} 4720 | Type: Revisionssucces | Kategori:^{(Category: )} Brugerkontostyring | Beskrivelse:^{(Description: )} En brugerkonto blev oprettet.

• Begivenheds-id:^{(Event ID: )} 4722 | Type: Revisionssucces | Kategori:^{(Category: )} Brugerkontostyring | Beskrivelse:^{(Description: )} En brugerkonto blev aktiveret.

• Begivenhed ID:^{(Event ID: )} 4738 | Type: Succesrevision | Kategori:^{(Category: )} Brugerkontostyring | Beskrivelse:^{(Description: )} En brugerkonto blev ændret.

• Begivenheds-id:^{(Event ID: )} 4732 | Type: Succesrevision | Kategori: ^{(Category: )} Sikkerhedsgruppeledelse | Beskrivelse:^{(Description: )} Et medlem blev føjet til en sikkerhedsaktiveret lokal gruppe.

2. Slet bruger:^{(Delete User: )} Nedenfor er hændelses-id'erne^{(Event IDs)} , der bliver logget, når brugeren slettes.

• Begivenhed ID:^{(Event ID: )} 4733 | Type: Succesrevision | Kategori: ^{(Category: )} Sikkerhedsgruppeledelse | Beskrivelse:^{(Description: )} Et medlem blev fjernet fra en sikkerhedsaktiveret lokal gruppe.

• Begivenheds-id:^{(Event ID: )} 4729 | Type: Succesrevision | Kategori: ^{(Category: )} Sikkerhedsgruppeledelse | Beskrivelse:^{(Description: )} Et medlem blev føjet til en sikkerhedsaktiveret global gruppe.

• Begivenheds-id:^{(Event ID: )} 4726 | Type: Succesrevision | Kategori: ^{(Category: )} Brugerkontostyring | Beskrivelse:^{(Description: )} En brugerkonto blev slettet.

3. Brugerkonto deaktiveret:^{(User Account Disabled: )} Nedenfor er de hændelses-id'er^{(Event IDs)} , der bliver logget, når brugeren deaktiveres.

• Begivenheds-id:^{(Event ID: )} 4725 | Type: Succesrevision | Kategori: ^{(Category: )} Brugerkontostyring | Beskrivelse:^{(Description: )} En brugerkonto blev deaktiveret.

• Begivenhed ID:^{(Event ID: )} 4738 | Type: Succesrevision | Kategori: ^{(Category: )} Brugerkontostyring | Beskrivelse:^{(Description: )} En brugerkonto blev ændret.

4. Brugerkonto aktiveret:^{(User Account Enabled: )} Nedenfor er de hændelses-id'er^{(Event IDs)} , der logges, når brugeren aktiveres.

• Begivenheds-id:^{(Event ID: )} 4722 | Type: Succesrevision | Kategori: ^{(Category: )} Brugerkontostyring | Beskrivelse:^{(Description: )} En brugerkonto blev aktiveret.

• Begivenhed ID:^{(Event ID: )} 4738 | Type: Succesrevision | Kategori: ^{(Category: )} Brugerkontostyring | Beskrivelse:^{(Description: )} En brugerkonto blev ændret.

5. Nulstilling af brugerkontoadgangskode:^{(User Account Password Reset: )} Nedenfor er de hændelses-id'er^{(Event IDs)} , der bliver logget, når brugerkontoens adgangskode^{(User Account Password)} nulstilles.

• Begivenhed ID:^{(Event ID: )} 4738 | Type: Succesrevision | Kategori: ^{(Category: )} Brugerkontostyring | Beskrivelse:^{(Description: )} En brugerkonto blev ændret.

• Begivenheds-id:^{(Event ID: )} 4724 | Type: Succesrevision | Kategori: ^{(Category: )} Brugerkontostyring | Beskrivelse:^{(Description: )} Der blev gjort et forsøg på at nulstille en kontos adgangskode.

6. Brugerkontoprofilstisæt: ^{(User Account Profile Path Set: )}Nedenfor^(Below) er hændelses-id'et^{(Event ID)} , der bliver logget, når profilstien^{(Profile Path)} indstilles for en brugerkonto.

• Begivenhed ID:^{(Event ID: )} 4738 | Type: Succesrevision | Kategori: ^{(Category: )} Brugerkontostyring | Beskrivelse:^{(Description: )} En brugerkonto blev ændret.

7. Brugerkontoomdøbning:^{(User Account Rename: )} Nedenfor er hændelses-id'erne^{(Event IDs)} , der bliver logget, når brugerkontoen^{(User Account)} omdøbes.

•  Begivenheds-id:^{(Event ID: )} 4781 | Type: Succesrevision | Kategori: ^{(Category: )} Brugerkontostyring | Beskrivelse:^{(Description: )} Navnet på en konto blev ændret.

• Begivenheds-id:^{(Event ID: )} 4738 | Type: Succesrevision | Kategori: ^{(Category: )} Brugerkontostyring | Beskrivelse:^{(Description: )} En brugerkonto blev ændret.

8. Opret lokal gruppe:^{(Create Local Group: )} Nedenfor er de begivenheds-id'er^{(Event IDs)} , der bliver logget, når den lokale gruppe^{(Local Group)} oprettes.

• Begivenheds-id:^{(Event ID: )} 4731 | Type: Succesrevision | Kategori: ^{(Category: )} Sikkerhedsgruppeledelse | Beskrivelse:^{(Description: )} En sikkerhedsaktiveret lokal gruppe blev oprettet

• Begivenheds-id:^{(Event ID: )} 4735 | Type: Succesrevision | Kategori: ^{(Category: )} Sikkerhedsgruppeledelse | Beskrivelse:^{(Description: )} En sikkerhedsaktiveret lokal gruppe blev ændret

9. Tilføj bruger til lokal gruppe: ^{(Add User to Local Group: )}Nedenfor^(Below) er hændelses-id'et^{(Event ID)} , der bliver logget, når brugeren føjes til den lokale^(Local) gruppe.

• Begivenheds-id:^{(Event ID: )} 4732 | Type: Succesrevision | Kategori: ^{(Category: )} Sikkerhedsgruppeledelse | Beskrivelse:^{(Description: )} Et medlem blev føjet til en sikkerhedsaktiveret lokal gruppe

10. Fjern bruger fra lokal gruppe: ^{(Remove User from Local Group: )}Nedenfor^(Below) er  hændelses-id'et^{(Event ID)} , der bliver logget, når brugeren fjernes fra den lokale^(Local) gruppe.

• Begivenhed ID:^{(Event ID: )} 4733 | Type: Succesrevision | Kategori:^(Category:)  Sikkerhedsgruppeledelse | Beskrivelse:^{(Description:)} Et medlem blev fjernet fra en sikkerhedsaktiveret lokal gruppe

11. Slet lokal gruppe: ^{(Delete Local Group: )}Nedenfor^(Below) er hændelses-id'et^{(Event ID)} , der bliver logget, når den lokale gruppe^{(Local Group)} slettes.

• Begivenheds-id:^{(Event ID: )} 4734 | Type: Succesrevision | Kategori: ^{(Category: )} Sikkerhedsgruppeledelse | Beskrivelse:^{(Description: )} En sikkerhedsaktiveret lokal gruppe blev slettet

12. Omdøb lokal gruppe:^{(Rename Local Group: )} Nedenfor er de begivenheds-id'er^{(Event IDs)} , der bliver logget, når den lokale gruppe^{(Local Group)} omdøbes.

• Begivenheds-id:^{(Event ID: )} 4781 | Type: Succesrevision | Kategori: ^{(Category: )} Brugerkontostyring | Beskrivelse:^{(Description: )} Et navn på en konto blev ændret

• Begivenheds-id:^{(Event ID: )} 4735 | Type: Succesrevision | Kategori: ^{(Category: )} Sikkerhedsgruppeledelse | Beskrivelse:^{(Description: )} En sikkerhedsaktiveret lokal gruppe blev ændret

På denne måde kan du spore brugere med deres aktiviteter. Denne artikel gælder for Windows 11/10/8.1 i arbejdsgruppetilstand^{(Workgroup Mode)} . For Active Directory Domain vil proceduren være anderledes.

How to track User Activity in WorkGroup Mode on Windows 11/10

Multi-user functionality in Windows has enabled us to use it conveniently in public places like schools, colleges, offices, etc. At these places, there is generally an administrator, who manages to keep an eye on the activities of users working therein. Sometimes, users go beyond their limits and modify accounts configured in Workgroup mode. This can have security repercussions, and thus we should configure Windows to track down user activities.

By configuring Windows for monitoring user activities, we can increase the security of the administration and can also punish the victim users by observing their records in case of an offense. In this article, we’ll tell you the way to track user activities in Windows 11/10/8.1/8/7 using Audit Policy. Here is how:

Track User Activity using Audit Policy in WorkGroup Mode

1. Press Windows Key + R combination, type put secpol.msc in Run dialog box and hit Enter to open the Local Security Policy.

2. In the Local Security Policy window, expand Security Settings > Local Policies > Audit Policy. Now you should get your window resembled with this one:

3. In the right pane, you can see 9 Audit…[] policies have No auditing as pre-defined security setting. Click one by one all the policies and make the selection to Success and Failure, click Apply followed by OK for each policy.

In this way, we will have configured Windows to track down user activity.

Follow these steps to get the traced records:

Trace User Activity Using Event Viewer

1. Press Windows Key + R combination, type put eventvwr in Run dialog box and hit Enter to open the Event Viewer.

2. Now, in the Event Viewer window, from the left pane, select Windows Logs > Security. Here Windows keeps a record of every event concerning security.

3. From the center pane, click any event to get its info:

Now, here is the list of the event IDs which covers the user activities for the accounts in the workgroup mode:

1. Create User: Below are the Event IDs that get logged when the user is created.

• Event ID: 4728 | Type: Audit Success | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4720 | Type: Audit Success | Category: User Account Management | Description: A User account was created.

• Event ID: 4722 | Type: Audit Success | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group.

2. Delete User: Below are the Event IDs that get logged when the user is deleted.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group.

• Event ID: 4729 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4726 | Type: Success Audit | Category: User Account Management | Description: A User account was deleted.

3. User Account Disabled: Below are the Event IDs that get logged when the user is disabled.

• Event ID: 4725 | Type: Success Audit | Category: User Account Management | Description: A User account was disabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

4. User Account Enabled: Below are the Event IDs that get logged when the user is enabled.

• Event ID: 4722 | Type: Success Audit | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

5. User Account Password Reset: Below are the Event IDs that get logged when the User Account Password gets reset.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4724 | Type: Success Audit | Category: User Account Management | Description: An attempt was made to reset an account’s password.

6. User Account Profile Path Set: Below is the Event ID that gets logged when Profile Path gets set for a user account.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

7. User Account Rename: Below are the Event IDs that get logged when the User Account is renamed.

•  Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: The name of an account was changed.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User Account was changed.

8. Create Local Group: Below are the Event IDs that get logged when the Local Group is created.

• Event ID: 4731 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was created

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

9. Add User to Local Group: Below is the Event ID that gets logged when the user gets added to the Local group.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group

10. Remove User from Local Group: Below is the Event ID that gets logged when the user is removed from the Local group.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group

11. Delete Local Group: Below is the Event ID that gets logged when the Local Group is deleted.

• Event ID: 4734 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was deleted

12. Rename Local Group: Below are the Event IDs that get logged when the Local Group is renamed.

• Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: A name of an account was changed

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

In this way, you can trace users with their activities. This article is applicable for Windows 11/10/8.1 in Workgroup Mode. For Active Directory Domain, the procedure will be different.

Related posts

• Slet gamle brugerprofiler og filer automatisk i Windows 11/10

• Sådan tilføjes Group Policy Editor til Windows 11/10 Home Edition

• Sådan aktiveres eller deaktiveres Win32 Long Paths på Windows 11/10

• Sådan deaktiveres billedadgangskode-login-indstillingen i Windows 11/10

• Sådan angives minimum og maksimum PIN-længde i Windows 11/10

• Kan du installere Windows-opdateringer i fejlsikret tilstand i Windows 11/10?

• Sådan slår du flytilstand fra eller til i Windows 11/10

• Indstil et standardbrugerlogonbillede for alle brugere i Windows 11/10

• Sådan kontrolleres den gruppepolitik, der anvendes på en Windows 10-computer

• Stop Windows 10 i at forudindlæse Microsoft Edge ved opstart

• Group Policy Client-tjenesten mislykkedes ved logon i Windows 11/10

• Opret skrivebordsgenvej til at skifte brugerkonti i Windows 11/10

• Aktiver fuldskærms startmenu ved hjælp af gruppepolitik eller registreringsdatabase i Windows

• Sådan aktiverer du Windows Installer-logning på Windows 10

• Sådan installeres Group Policy Editor (gpedit.msc)

• Sådan angives deadline før auto-genstart for opdateringsinstallation

• Sådan opretter du en lokal brugerkonto ved hjælp af PowerShell i Windows 11/10

• Sådan anvender du lagdelt gruppepolitik i Windows 11/10

• Sådan aktiveres eller deaktiveres eller applikationsisoleringsfunktionen i Windows 10

• Windows-pc'en går ikke i dvale; Dvaletilstand fungerer ikke i Windows 11/10