Chức năng đa người dùng trong Windows đã cho phép chúng ta sử dụng nó một cách thuận tiện ở những nơi công cộng như trường học, cao đẳng, văn phòng, ... Tại những nơi này, thường có một quản trị viên, người quản lý để theo dõi các hoạt động của người dùng làm việc tại đó. Đôi khi, người dùng vượt quá giới hạn của họ và sửa đổi các tài khoản được định cấu hình ở chế độ Nhóm làm việc^(Workgroup) . Điều này có thể gây ra hậu quả về bảo mật và do đó chúng ta nên cấu hình Windows để theo dõi các hoạt động của người dùng.

Bằng cách cấu hình Windows để giám sát các hoạt động của người dùng, chúng tôi có thể tăng cường bảo mật cho cơ quan quản lý và cũng có thể trừng phạt những người dùng là nạn nhân bằng cách quan sát hồ sơ của họ trong trường hợp vi phạm. Trong bài viết này, chúng tôi sẽ cho bạn biết cách theo dõi hoạt động của người dùng trong Windows 11/10/8.1/8/7 bằng cách sử dụng Chính sách kiểm tra. Đây là cách thực hiện:

Theo dõi Hoạt động của Người dùng^{(Track User Activity)} bằng Chính sách Kiểm tra trong Chế độ Nhóm làm việc^{(WorkGroup Mode)}

1. Nhấn tổ hợp phím Windows Key + R , nhập đặt secpol.msc trong  hộp thoại Chạy và nhấn ^(Run)Enter để mở Chính sách bảo mật cục^{(Local Security Policy)} bộ .

2. Trong cửa sổ Chính sách bảo mật cục bộ, hãy mở rộng ^{(Local Security Policy)}Cài đặt bảo mật^{(Security Settings)} > Chính sách cục^{(Local Policies)} bộ > Chính sách kiểm tra^{(Audit Policy)} . Bây giờ bạn sẽ có được cửa sổ của mình giống như sau:

3. Trong ngăn bên phải, bạn có thể thấy 9 chính sách Kiểm tra… [] có ^(Audit…[])Không kiểm tra^{(No auditing)} là cài đặt bảo mật được xác định trước^{(pre-defined)} . Nhấp lần lượt vào^{(Click one)} tất cả các chính sách và thực hiện lựa chọn Thành công^(Success) và Không^(Failure) thành công , nhấp vào Áp dụng^{( Apply)} , sau đó nhấp vào OK cho từng chính sách.

Bằng cách này, chúng tôi sẽ cấu hình Windows để theo dõi hoạt động của người dùng.

Làm theo các bước sau để lấy các bản ghi đã theo dõi:

Theo dõi hoạt động của người dùng bằng trình xem sự kiện^{(Trace User Activity Using Event Viewer)}

1. Nhấn tổ hợp phím Windows Key + R , nhập put  eventvwr trong  hộp thoại Run và nhấn ^(Run)Enter để mở Event Viewer .

2. Bây giờ, trong cửa sổ Event Viewe r, từ khung bên trái, chọn Windows Logs > Security . Tại đây Windows lưu giữ hồ sơ về mọi sự kiện liên quan đến bảo mật.

3. Từ ngăn trung tâm, nhấp vào bất kỳ sự kiện nào để nhận thông tin:

Bây giờ, đây là danh sách các ID^(IDs) sự kiện bao gồm các hoạt động của người dùng cho các tài khoản ở chế độ nhóm làm việc:

1. Tạo người dùng:^{(Create User:)} Dưới đây là các ID sự kiện^{(Event IDs)} được ghi lại khi người dùng được tạo.

• ID sự kiện:^{(Event ID: )} 4728 | Loại:^{(Type: )} Kiểm toán Thành công | Thể loại:^{(Category: )} Quản lý nhóm bảo mật | Mô tả:^{(Description: )} Một thành viên đã được thêm vào nhóm toàn cầu có hỗ trợ Bảo mật.

• ID sự kiện:^{(Event ID: )} 4720 | Loại:^{(Type: )} Kiểm toán Thành công | Thể loại:^{(Category: )} Quản lý tài khoản người dùng | Mô tả:^{(Description: )} Một tài khoản Người dùng đã được tạo.

• ID sự kiện:^{(Event ID: )} 4722 | Loại:^{(Type: )} Kiểm toán Thành công | Thể loại:^{(Category: )} Quản lý tài khoản người dùng | Mô tả:^{(Description: )} Một tài khoản Người dùng đã được kích hoạt.

• ID sự kiện:^{(Event ID: )} 4738 | Loại:^{(Type: )} Kiểm toán thành công | Thể loại:^{(Category: )} Quản lý tài khoản người dùng | Mô tả:^{(Description: )} Một tài khoản Người dùng đã được thay đổi.

• ID sự kiện:^{(Event ID: )} 4732 | Loại:^{(Type: )} Kiểm toán thành công | Thể loại: ^{(Category: )} Quản lý nhóm bảo mật | Mô tả:^{(Description: )} Một thành viên đã được thêm vào nhóm cục bộ có hỗ trợ Bảo mật.

2. Xóa người dùng:^{(Delete User: )} Dưới đây là các ID sự kiện^{(Event IDs)} được ghi lại khi người dùng bị xóa.

• ID sự kiện:^{(Event ID: )} 4733 | Loại:^{(Type: )} Kiểm toán thành công | Thể loại: ^{(Category: )} Quản lý nhóm bảo mật | Mô tả:^{(Description: )} Một thành viên đã bị xóa khỏi nhóm cục bộ có hỗ trợ Bảo mật.

• ID sự kiện:^{(Event ID: )} 4729 | Loại:^{(Type: )} Kiểm toán thành công | Thể loại: ^{(Category: )} Quản lý nhóm bảo mật | Mô tả:^{(Description: )} Một thành viên đã được thêm vào nhóm toàn cầu có hỗ trợ Bảo mật.

• ID sự kiện:^{(Event ID: )} 4726 | Loại:^{( Type: )} Kiểm toán thành công | Thể loại: ^{(Category: )} Quản lý tài khoản người dùng | Mô tả:^{(Description: )} Một tài khoản Người dùng đã bị xóa.

3. Tài khoản người dùng bị vô hiệu hóa:^{(User Account Disabled: )} Dưới đây là các ID sự kiện^{(Event IDs)} được ghi lại khi người dùng bị vô hiệu hóa.

• ID sự kiện:^{(Event ID: )} 4725 | Loại:^{(Type: )} Kiểm toán thành công | Thể loại: ^{(Category: )} Quản lý tài khoản người dùng | Mô tả:^{(Description: )} Một tài khoản Người dùng đã bị vô hiệu hóa.

• ID sự kiện:^{(Event ID: )} 4738 | Loại:^{(Type: )} Kiểm toán thành công | Thể loại: ^{(Category: )} Quản lý tài khoản người dùng | Mô tả:^{(Description: )} Một tài khoản Người dùng đã được thay đổi.

4. Tài khoản người dùng được bật:^{(User Account Enabled: )} Dưới đây là các ID sự kiện^{(Event IDs)} được ghi lại khi người dùng được bật.

• ID sự kiện:^{(Event ID: )} 4722 | Loại:^{(Type: )} Kiểm toán thành công | Thể loại: ^{(Category: )} Quản lý tài khoản người dùng | Mô tả:^{(Description: )} Một tài khoản Người dùng đã được kích hoạt.

• ID sự kiện:^{(Event ID: )} 4738 | Loại:^{(Type: )} Kiểm toán thành công | Thể loại: ^{(Category: )} Quản lý tài khoản người dùng | Mô tả:^{(Description: )} Một tài khoản Người dùng đã được thay đổi.

5. Đặt lại mật khẩu tài khoản người dùng:^{(User Account Password Reset: )} Dưới đây là các ID sự kiện^{(Event IDs)} được ghi lại khi Mật khẩu tài khoản người dùng^{(User Account Password)} được đặt lại.

• ID sự kiện:^{(Event ID: )} 4738 | Loại:^{(Type: )} Kiểm toán thành công | Thể loại: ^{(Category: )} Quản lý tài khoản người dùng | Mô tả:^{(Description: )} Một tài khoản Người dùng đã được thay đổi.

• ID sự kiện:^{(Event ID: )} 4724 | Loại:^{(Type: )} Kiểm toán thành công | Thể loại: ^{(Category: )} Quản lý tài khoản người dùng | Mô tả:^{(Description: )} Đã cố gắng đặt lại mật khẩu của tài khoản.

6. Bộ đường dẫn hồ sơ tài khoản người dùng: ^{(User Account Profile Path Set: )}Dưới đây^(Below) là ID sự kiện^{(Event ID)} được ghi lại khi đường dẫn hồ sơ^{(Profile Path)} được đặt cho tài khoản người dùng.

• ID sự kiện:^{(Event ID: )} 4738 | Loại:^{(Type: )} Kiểm toán thành công | Thể loại: ^{(Category: )} Quản lý tài khoản người dùng | Mô tả:^{(Description: )} Một tài khoản Người dùng đã được thay đổi.

7. Đổi tên tài khoản người dùng:^{(User Account Rename: )} Dưới đây là các ID sự kiện^{(Event IDs)} được ghi lại khi tài khoản người dùng^{(User Account)} được đổi tên.

•  ID sự kiện:^{(Event ID: )} 4781 | Loại:^{(Type: )} Kiểm toán thành công | Thể loại: ^{(Category: )} Quản lý tài khoản người dùng | Mô tả:^{(Description: )} Tên của một tài khoản đã được thay đổi.

• ID sự kiện:^{(Event ID: )} 4738 | Type: Kiểm toán thành công | Thể loại: ^{(Category: )} Quản lý tài khoản người dùng | Mô tả:^{(Description: )} Một Tài khoản Người dùng đã được thay đổi.

8. Tạo Nhóm cục bộ:^{(Create Local Group: )} Dưới đây là các ID sự kiện^{(Event IDs)} được ghi lại khi Nhóm cục^{(Local Group)} bộ được tạo.

• ID sự kiện:^{(Event ID: )} 4731 | Loại:^{(Type: )} Kiểm toán thành công | Thể loại: ^{(Category: )} Quản lý nhóm bảo mật | Mô tả:^{(Description: )} Một nhóm cục bộ hỗ trợ bảo mật đã được tạo

• ID sự kiện:^{(Event ID: )} 4735 | Loại:^{(Type: )} Kiểm toán thành công | Thể loại: ^{(Category: )} Quản lý nhóm bảo mật | Mô tả:^{(Description: )} Một nhóm cục bộ hỗ trợ Bảo mật đã được thay đổi

9. Thêm người dùng vào nhóm cục bộ: ^{(Add User to Local Group: )}Dưới đây^(Below) là ID sự kiện^{(Event ID)} được ghi lại khi người dùng được thêm vào nhóm cục^(Local) bộ .

• ID sự kiện:^{(Event ID: )} 4732 | Loại:^{(Type: )} Kiểm toán thành công | Thể loại: ^{(Category: )} Quản lý nhóm bảo mật | Mô tả:^{(Description: )} Một thành viên đã được thêm vào nhóm cục bộ có hỗ trợ Bảo mật

10. Xóa người dùng khỏi nhóm cục bộ: ^{(Remove User from Local Group: )}Dưới đây^(Below) là  ID sự kiện^{(Event ID)} được ghi lại khi người dùng bị xóa khỏi nhóm cục^(Local) bộ .

• ID sự kiện:^{(Event ID: )} 4733 | Loại:^(Type:) Kiểm toán thành công | Thể loại:^(Category:)  Quản lý nhóm bảo mật | Mô tả:^{(Description:)} Một thành viên đã bị xóa khỏi nhóm cục bộ có hỗ trợ Bảo mật

11. Xóa Nhóm cục bộ: ^{(Delete Local Group: )}Dưới đây^(Below) là ID sự kiện^{(Event ID)} được ghi lại khi Nhóm cục^{(Local Group)} bộ bị xóa.

• ID sự kiện:^{(Event ID: )} 4734 | Loại:^{(Type: )} Kiểm toán thành công | Thể loại: ^{(Category: )} Quản lý nhóm bảo mật | Mô tả:^{(Description: )} Một nhóm cục bộ hỗ trợ bảo mật đã bị xóa

12. Đổi tên Nhóm cục bộ:^{(Rename Local Group: )} Dưới đây là các ID sự kiện^{(Event IDs)} được ghi lại khi Nhóm cục^{(Local Group)} bộ được đổi tên.

• ID sự kiện:^{(Event ID: )} 4781 | Loại:^{(Type: )} Kiểm toán thành công | Thể loại: ^{(Category: )} Quản lý tài khoản người dùng | Mô tả:^{(Description: )} Tên của một tài khoản đã được thay đổi

• ID sự kiện:^{(Event ID: )} 4735 | Loại:^{(Type: )} Kiểm toán thành công | Thể loại: ^{(Category: )} Quản lý nhóm bảo mật | Mô tả:^{(Description: )} Một nhóm cục bộ hỗ trợ Bảo mật đã được thay đổi

Bằng cách này, bạn có thể theo dõi người dùng với các hoạt động của họ. Bài viết này có thể áp dụng cho Windows 11/10/8.1 ở Chế độ nhóm làm việc^{(Workgroup Mode)} . Đối với miền Active Directory^{(Directory Domain)} , quy trình sẽ khác.

How to track User Activity in WorkGroup Mode on Windows 11/10

Multi-υser functionality in Windows has enabled us to use it conveniently in public places like schools, colleges, offices, etc. At these places, there is generally an administrator, who manages to keep an eye on the activities of users working therein. Sometimes, users go beyond their limits and modify accounts configured in Workgroup mode. This can have security repercussions, and thus we should configure Windows to track down user activities.

By configuring Windows for monitoring user activities, we can increase the security of the administration and can also punish the victim users by observing their records in case of an offense. In this article, we’ll tell you the way to track user activities in Windows 11/10/8.1/8/7 using Audit Policy. Here is how:

Track User Activity using Audit Policy in WorkGroup Mode

1. Press Windows Key + R combination, type put secpol.msc in Run dialog box and hit Enter to open the Local Security Policy.

2. In the Local Security Policy window, expand Security Settings > Local Policies > Audit Policy. Now you should get your window resembled with this one:

3. In the right pane, you can see 9 Audit…[] policies have No auditing as pre-defined security setting. Click one by one all the policies and make the selection to Success and Failure, click Apply followed by OK for each policy.

In this way, we will have configured Windows to track down user activity.

Follow these steps to get the traced records:

Trace User Activity Using Event Viewer

1. Press Windows Key + R combination, type put eventvwr in Run dialog box and hit Enter to open the Event Viewer.

2. Now, in the Event Viewer window, from the left pane, select Windows Logs > Security. Here Windows keeps a record of every event concerning security.

3. From the center pane, click any event to get its info:

Now, here is the list of the event IDs which covers the user activities for the accounts in the workgroup mode:

1. Create User: Below are the Event IDs that get logged when the user is created.

• Event ID: 4728 | Type: Audit Success | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4720 | Type: Audit Success | Category: User Account Management | Description: A User account was created.

• Event ID: 4722 | Type: Audit Success | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group.

2. Delete User: Below are the Event IDs that get logged when the user is deleted.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group.

• Event ID: 4729 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4726 | Type: Success Audit | Category: User Account Management | Description: A User account was deleted.

3. User Account Disabled: Below are the Event IDs that get logged when the user is disabled.

• Event ID: 4725 | Type: Success Audit | Category: User Account Management | Description: A User account was disabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

4. User Account Enabled: Below are the Event IDs that get logged when the user is enabled.

• Event ID: 4722 | Type: Success Audit | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

5. User Account Password Reset: Below are the Event IDs that get logged when the User Account Password gets reset.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4724 | Type: Success Audit | Category: User Account Management | Description: An attempt was made to reset an account’s password.

6. User Account Profile Path Set: Below is the Event ID that gets logged when Profile Path gets set for a user account.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

7. User Account Rename: Below are the Event IDs that get logged when the User Account is renamed.

•  Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: The name of an account was changed.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User Account was changed.

8. Create Local Group: Below are the Event IDs that get logged when the Local Group is created.

• Event ID: 4731 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was created

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

9. Add User to Local Group: Below is the Event ID that gets logged when the user gets added to the Local group.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group

10. Remove User from Local Group: Below is the Event ID that gets logged when the user is removed from the Local group.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group

11. Delete Local Group: Below is the Event ID that gets logged when the Local Group is deleted.

• Event ID: 4734 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was deleted

12. Rename Local Group: Below are the Event IDs that get logged when the Local Group is renamed.

• Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: A name of an account was changed

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

In this way, you can trace users with their activities. This article is applicable for Windows 11/10/8.1 in Workgroup Mode. For Active Directory Domain, the procedure will be different.

Related posts

• Delete Cấu hình và tệp người dùng cũ tự động trong Windows 10

• Làm thế nào để thêm Group Policy Editor để Windows 10 Home Edition

• Cách bật hoặc tắt Win32 Long Paths trên Windows 10

• Cách vô hiệu hóa Picture Password Sign-In option bằng Windows 10

• Cách xác định Minimum and Maximum PIN length trong Windows 10

• Vô hiệu hóa Delivery Optimization VIA Group Policy or Registry Editor

• Cách áp dụng Group Policy lên Non-Administrators chỉ bằng Windows 10

• Cách tạo Local User Account bằng PowerShell trong Windows 10

• Turn tắt hiển thị các mục tìm kiếm gần đây trong File Explorer trong Windows 11/10

• Cách Import or Export Group Policy settings trong Windows 10

• Stop Windows 10 từ tải trước Microsoft Edge trên Startup

• Desktop Background Group Policy không áp dụng trong Windows 10

• Kích hoạt tính năng Windows 10 Full Start Menu màn hình sử dụng Group Policy or Registry

• Thay đổi Delivery Optimization Cache Drive cho Windows Updates

• Access Local User and Group Management trong Windows 10 Home

• Cách buộc Group Policy Update trong Windows 10

• Cách khóa tất cả các cài đặt Taskbar trong Windows 10

• Phím tắt Create desktop đến Switch User Accounts trong Windows 11/10

• Cài đặt Group Policy bị thiếu trong Windows 10

• Cách ánh xạ Network Drive bằng Group Policy trên Windows 10