Windows10のワークグループモードでユーザーアクティビティを追跡する方法

Windowsのマルチユーザー機能 学校、大学、オフィスなどの公共の場所で便利に使用できるようになりました。これらの場所には、一般に管理者がいて、そこで働くユーザーの活動を監視しています。場合によっては、ユーザーが制限を超えて、ワークグループモードで構成されたアカウントを変更することがあります。これはセキュリティに影響を与える可能性があるため、 Windowsを構成する必要があります ユーザーアクティビティを追跡します。

ユーザーのアクティビティを監視するようにWindowsを構成することで、管理のセキュリティを強化し、違反が発生した場合に被害者の記録を監視して被害者のユーザーを罰することもできます。この記事では、 Windows 11/10 / 8.1 / 8/7でユーザーアクティビティを追跡する方法について説明します。 監査ポリシーを使用します。方法は次のとおりです。

ワークグループモードで監査ポリシーを使用してユーザーアクティビティを追跡する

1。 Windowsキー+Rを押します 組み合わせて、put secpol.mscと入力します 実行で ダイアログボックスを開き、 Enterを押します。 ローカルセキュリティポリシーを開く 。

2。 ローカルセキュリティポリシー ウィンドウで、セキュリティ設定を展開します>ローカルポリシー>監査ポリシー 。これで、ウィンドウが次のようになります。

3。 右側のペインに、 9が表示されます。 監査…[] ポリシーには監査なしがあります 事前定義として セキュリティ設定。すべてのポリシーを1つずつクリックし、成功を選択します。 および失敗 、[適用]をクリックします 続いてOK ポリシーごとに。

このようにして、ユーザーアクティビティを追跡するようにWindowsを構成します。

トレースされたレコードを取得するには、次の手順に従います。

イベントビューアを使用してユーザーアクティビティを追跡する

1。 Windowsキー+Rを押します 組み合わせて、put eventvwrと入力します 実行で ダイアログボックスを開き、 Enterを押します。 イベントビューアを開くには 。

2。 さて、イベントビュー rウィンドウの左側のペインから、[Windowsログ]を選択します>セキュリティ 。ここで、Windowsはセキュリティに関するすべてのイベントの記録を保持します。

3。 中央のペインで、任意のイベントをクリックして情報を取得します：

これが、ワークグループモードのアカウントのユーザーアクティビティをカバーするイベントIDのリストです。

1. ユーザーの作成： 以下は、ユーザーの作成時にログに記録されるイベントIDです。

• イベントID： 4728 | タイプ： 監査の成功| カテゴリ： セキュリティグループ管理| 説明： セキュリティが有効なグローバルグループにメンバーが追加されました。

• イベントID： 4720 | タイプ： 監査の成功| カテゴリ： ユーザーアカウント管理| 説明： ユーザーアカウントが作成されました。

• イベントID： 4722 | タイプ： 監査の成功| カテゴリ： ユーザーアカウント管理| 説明： ユーザーアカウントが有効になりました。

• イベントID： 4738 | タイプ： 成功監査| カテゴリ： ユーザーアカウント管理| 説明： ユーザーアカウントが変更されました。

• イベントID： 4732 | タイプ： 成功監査| カテゴリ： セキュリティグループ管理| 説明： セキュリティが有効なローカルグループにメンバーが追加されました。

2. ユーザーの削除： 以下は、ユーザーが削除されたときにログに記録されるイベントIDです。

• イベントID： 4733 | タイプ： 成功監査| カテゴリ： セキュリティグループ管理| 説明： メンバーがセキュリティ対応のローカルグループから削除されました。

• イベントID： 4729 | タイプ： 成功監査| カテゴリ： セキュリティグループ管理| 説明： セキュリティが有効なグローバルグループにメンバーが追加されました。

• イベントID： 4726 | タイプ： 成功監査| カテゴリ： ユーザーアカウント管理| 説明： ユーザーアカウントが削除されました。

3. 無効なユーザーアカウント： 以下は、ユーザーが無効になっているときにログに記録されるイベントIDです。

• イベントID： 4725 | タイプ： 成功監査| カテゴリ： ユーザーアカウント管理| 説明： ユーザーアカウントが無効になりました。

• イベントID： 4738 | タイプ： 成功監査| カテゴリ： ユーザーアカウント管理| 説明： ユーザーアカウントが変更されました。

4. 有効なユーザーアカウント： 以下は、ユーザーが有効になっているときにログに記録されるイベントIDです。

• イベントID： 4722 | タイプ： 成功監査| カテゴリ： ユーザーアカウント管理| 説明： ユーザーアカウントが有効になりました。

• イベントID： 4738 | タイプ： 成功監査| カテゴリ： ユーザーアカウント管理| 説明： ユーザーアカウントが変更されました。

5. ユーザーアカウントのパスワードのリセット： 以下は、ユーザーアカウントのパスワードがリセットされたときにログに記録されるイベントIDです。

• イベントID： 4738 | タイプ： 成功監査| カテゴリ： ユーザーアカウント管理| 説明： ユーザーアカウントが変更されました。

• イベントID： 4724 | タイプ： 成功監査| カテゴリ： ユーザーアカウント管理| 説明： アカウントのパスワードをリセットしようとしました。

6. ユーザーアカウントプロファイルパスセット： 以下は、プロファイルパスがユーザーアカウントに設定されたときにログに記録されるイベントIDです。

• イベントID： 4738 | タイプ： 成功監査| カテゴリ： ユーザーアカウント管理| 説明： ユーザーアカウントが変更されました。

7. ユーザーアカウントの名前変更： 以下は、ユーザーアカウントの名前が変更されたときにログに記録されるイベントIDです。

• イベントID： 4781 | タイプ： 成功監査| カテゴリ： ユーザーアカウント管理| 説明： アカウントの名前が変更されました。

• イベントID： 4738 |タイプ： 成功監査| カテゴリ： ユーザーアカウント管理| 説明： ユーザーアカウントが変更されました。

8. ローカルグループの作成： 以下は、ローカルグループの作成時にログに記録されるイベントIDです。

• イベントID： 4731 | タイプ： 成功監査| カテゴリ： セキュリティグループ管理| 説明： セキュリティ対応のローカルグループが作成されました

• イベントID： 4735 | タイプ： 成功監査| カテゴリ： セキュリティグループ管理| 説明： セキュリティが有効なローカルグループが変更されました

9. ローカルグループへのユーザーの追加： 以下は、ユーザーがローカルグループに追加されたときにログに記録されるイベントIDです。

• イベントID： 4732 | タイプ： 成功監査| カテゴリ： セキュリティグループ管理| 説明： セキュリティが有効なローカルグループにメンバーが追加されました

10. ローカルグループからユーザーを削除します： 以下は、ユーザーがローカルグループから削除されたときにログに記録されるイベントIDです。

• イベントID： 4733 | タイプ： 成功監査| カテゴリ： セキュリティグループ管理| 説明： メンバーがセキュリティ対応のローカルグループから削除されました

11. ローカルグループの削除： 以下は、ローカルグループが削除されたときにログに記録されるイベントIDです。

• イベントID： 4734 | タイプ： 成功監査| カテゴリ： セキュリティグループ管理| 説明： セキュリティが有効なローカルグループが削除されました

12. ローカルグループの名前を変更： 以下は、ローカルグループの名前が変更されたときにログに記録されるイベントIDです。

• イベントID： 4781 | タイプ： 成功監査| カテゴリ： ユーザーアカウント管理| 説明： アカウントの名前が変更されました

• イベントID： 4735 | タイプ： 成功監査| カテゴリ： セキュリティグループ管理| 説明： セキュリティが有効なローカルグループが変更されました

このようにして、ユーザーのアクティビティを追跡できます。この記事は、ワークグループモードのWindows 11/10/8.1に適用されます。 Active Directoryドメインの場合、手順は異なります。