Cách theo dõi Hoạt động của người dùng trong Chế độ nhóm làm việc trên Windows 10/8/7

2024 Tác giả: Geoffrey Carr | [email protected]. Sửa đổi lần cuối: 2024-01-31 12:54

Chức năng đa người dùng trong các cửa sổ đã cho phép chúng tôi sử dụng nó một cách thuận tiện ở những nơi công cộng như trường học, cao đẳng, văn phòng, v.v. Ở những nơi này, thường có một quản trị viên, người quản lý để theo dõi các hoạt động của người dùng đang làm việc ở đó. Đôi khi, người dùng vượt quá giới hạn của họ và sửa đổi các tài khoản được định cấu hình trong chế độ Nhóm làm việc. Điều này có thể có hậu quả an ninh, và do đó chúng ta nên cấu hình các cửa sổ để theo dõi hoạt động của người dùng.

Bằng cách cấu hình Windows để theo dõi hoạt động của người dùng, chúng tôi có thể tăng cường tính bảo mật của quản trị và cũng có thể trừng phạt người dùng nạn nhân bằng cách quan sát hồ sơ của họ trong trường hợp vi phạm. Trong bài viết này, chúng tôi sẽ cho bạn biết cách theo dõi hoạt động của người dùng trong Windows 10 / 8.1 / 8/7 sử dụng chính sách kiểm toán. Dưới đây là cách thực hiện:

Theo dõi hoạt động của người dùng bằng Chính sách kiểm tra

1. nhấn Phím Windows + R kết hợp, loại bỏ secpol.msc trong Chạy hộp thoại và nhấn Đi vào để mở Chính sách bảo mật cục bộ.

2. bên trong Chính sách bảo mật cục bộ cửa sổ, mở rộng Cài đặt hệ thống bảo vệ -> Chính sách địa phương -> Chính sách kiểm toán. Bây giờ bạn sẽ nhận được cửa sổ của bạn giống với cửa sổ này:

3. Trong ngăn bên phải, bạn có thể thấy 9 Kiểm toán… chính sách có Không kiểm toán như xác định trước cài đặt bảo mật. Nhấp từng người một tất cả các chính sách và thực hiện lựa chọn Sự thành công và Thất bại, nhấp chuột Ứng dụng theo dõi bởi được cho mỗi chính sách.

Làm theo các bước sau để lấy các bản ghi được theo dõi:

Theo dõi hoạt động của người dùng bằng Trình xem sự kiện

1. nhấn Phím Windows + R kết hợp, loại bỏ eventvwr in Chạy hộp thoại và nhấn Đi vào để mở Trình xem sự kiện.

2. Bây giờ, trong Chế độ xem sự kiệnr cửa sổ, từ khung bên trái, chọn Nhật ký Windows -> Bảo vệ. Ở đây Windows lưu giữ hồ sơ về mọi sự kiện liên quan đến bảo mật.

3. Từ ngăn giữa, nhấp vào bất kỳ sự kiện nào để nhận thông tin của sự kiện:

1. Tạo người dùng: Dưới đây là các ID sự kiện được ghi lại khi người dùng được tạo.

• ID sự kiện: 4728 | Kiểu: Kiểm toán thành công | Thể loại: Quản lý nhóm bảo mật | Sự miêu tả: Một thành viên đã được thêm vào một nhóm toàn cầu được kích hoạt bảo mật.
• ID sự kiện: 4720 | Kiểu: Kiểm toán thành công | Thể loại: Quản lý tài khoản người dùng | Sự miêu tả: Tài khoản người dùng đã được tạo.
• ID sự kiện: 4722 | Kiểu: Kiểm toán thành công | Thể loại: Quản lý tài khoản người dùng | Sự miêu tả: Tài khoản người dùng đã được bật.
• ID sự kiện: 4738 | Kiểu: Kiểm toán thành công | Thể loại: Quản lý tài khoản người dùng | Sự miêu tả: Tài khoản người dùng đã được thay đổi.
• ID sự kiện: 4732 | Kiểu: Kiểm toán thành công | Thể loại:Quản lý nhóm bảo mật | Sự miêu tả: Một thành viên đã được thêm vào nhóm nội bộ được bật bảo mật.

2. Xóa người dùng: Dưới đây là các ID sự kiện được ghi lại khi người dùng bị xóa.

• ID sự kiện: 4733 | Kiểu: Kiểm toán thành công | Thể loại:Quản lý nhóm bảo mật | Sự miêu tả: Một thành viên đã bị xóa khỏi nhóm nội bộ được bật bảo mật.
• ID sự kiện: 4729 | Kiểu: Kiểm toán thành công | Thể loại:Quản lý nhóm bảo mật | Sự miêu tả: Một thành viên đã được thêm vào một nhóm toàn cầu được kích hoạt bảo mật.
• ID sự kiện: 4726 | Kiểu: Kiểm toán thành công | Thể loại:Quản lý tài khoản người dùng | Sự miêu tả: Tài khoản người dùng đã bị xóa.

3. Tài khoản người dùng bị vô hiệu hóa: Dưới đây là các ID sự kiện được ghi lại khi người dùng bị vô hiệu hóa.

• ID sự kiện: 4725 | Kiểu: Kiểm toán thành công | Thể loại:Quản lý tài khoản người dùng | Sự miêu tả: Tài khoản người dùng đã bị vô hiệu hóa.
• ID sự kiện: 4738 | Kiểu: Kiểm toán thành công | Thể loại:Quản lý tài khoản người dùng | Sự miêu tả: Tài khoản người dùng đã được thay đổi.

4. Tài khoản người dùng được bật: Dưới đây là các ID sự kiện được ghi lại khi người dùng được bật.

• ID sự kiện: 4722 | Kiểu: Kiểm toán thành công | Thể loại:Quản lý tài khoản người dùng | Sự miêu tả: Tài khoản người dùng đã được bật.
• ID sự kiện: 4738 | Kiểu: Kiểm toán thành công | Thể loại:Quản lý tài khoản người dùng | Sự miêu tả: Tài khoản người dùng đã được thay đổi.

5. Đặt lại mật khẩu tài khoản người dùng: Dưới đây là các ID sự kiện được ghi lại khi Mật khẩu tài khoản người dùng được đặt lại.

• ID sự kiện: 4738 | Kiểu: Kiểm toán thành công | Thể loại:Quản lý tài khoản người dùng | Sự miêu tả: Tài khoản người dùng đã được thay đổi.
• ID sự kiện: 4724 | Kiểu: Kiểm toán thành công | Thể loại:Quản lý tài khoản người dùng | Sự miêu tả: Một nỗ lực đã được thực hiện để đặt lại mật khẩu của tài khoản.

6. Tập hợp đường dẫn hồ sơ tài khoản người dùng: Dưới đây là ID sự kiện được ghi lại khi Đường dẫn hồ sơ được đặt cho tài khoản người dùng.

ID sự kiện: 4738 | Kiểu: Kiểm toán thành công | Thể loại:Quản lý tài khoản người dùng | Sự miêu tả: Tài khoản người dùng đã được thay đổi.

7. Đổi tên tài khoản người dùng: Dưới đây là các ID sự kiện được ghi lại khi Tài khoản người dùng được đổi tên.

• ID sự kiện: 4781 | Kiểu: Kiểm toán thành công | Thể loại:Quản lý tài khoản người dùng | Sự miêu tả: Tên của tài khoản đã được thay đổi.
• ID sự kiện: 4738 | Kiểu: Kiểm toán thành công | Thể loại:Quản lý tài khoản người dùng | Sự miêu tả: Tài khoản người dùng đã được thay đổi.

8. Tạo Nhóm Địa phương: Dưới đây là các ID sự kiện được ghi lại khi Nhóm cục bộ được tạo.

• ID sự kiện: 4731 | Kiểu: Kiểm toán thành công | Thể loại:Quản lý nhóm bảo mật | Sự miêu tả: Nhóm nội bộ được bật bảo mật đã được tạo
• ID sự kiện: 4735 | Kiểu: Kiểm toán thành công | Thể loại:Quản lý nhóm bảo mật | Sự miêu tả: Nhóm nội bộ được bật bảo mật đã được thay đổi

9. Thêm người dùng vào nhóm cục bộ: Dưới đây là ID sự kiện được ghi lại khi người dùng được thêm vào nhóm Địa phương.

ID sự kiện: 4732 | Kiểu: Kiểm toán thành công | Thể loại:Quản lý nhóm bảo mật | Sự miêu tả: Một thành viên đã được thêm vào nhóm nội bộ được bật bảo mật

10. Xóa người dùng khỏi nhóm cục bộ: Dưới đây là ID sự kiện được ghi lại khi người dùng bị xóa khỏi nhóm Địa phương.

ID sự kiện: 4733 | Kiểu: Kiểm toán thành công | Thể loại: Quản lý nhóm bảo mật | Sự miêu tả: Một thành viên đã bị xóa khỏi nhóm nội bộ được bật bảo mật

11. Xóa nhóm cục bộ: Dưới đây là ID sự kiện được ghi lại khi Nhóm cục bộ bị xóa.

ID sự kiện: 4734 | Kiểu: Kiểm toán thành công | Thể loại:Quản lý nhóm bảo mật | Sự miêu tả: Nhóm cục bộ đã bật bảo mật đã bị xóa

12. Đổi tên nhóm cục bộ: Dưới đây là các ID sự kiện được ghi lại khi Nhóm cục bộ được đổi tên.

• ID sự kiện: 4781 | Kiểu: Kiểm toán thành công | Thể loại:Quản lý tài khoản người dùng | Sự miêu tả: Tên tài khoản đã được thay đổi
• ID sự kiện: 4735 | Kiểu: Kiểm toán thành công | Thể loại:Quản lý nhóm bảo mật | Sự miêu tả: Nhóm nội bộ được bật bảo mật đã được thay đổi

Bằng cách này, bạn có thể theo dõi người dùng bằng các hoạt động của họ. Bài viết này áp dụng cho Windows 10 / 8.1 trong Chế độ nhóm làm việc. Đối với Active Directory Domain, quy trình sẽ khác.

Bài viết liên quan:

• Event Log Manager: Phần mềm quản lý nhật ký sự kiện miễn phí
• Lệnh WMI trên Windows 10/8/7
• AuditPol trong Windows 10/8/7 là gì và cách kích hoạt nó
• Theo dõi máy tính và tài liệu của bạn bằng Chính sách Nhóm
• Các mẹo quản lý chính sách nhóm cho các chuyên gia CNTT trong Windows