经验知识

Windows 10进阶:跟踪工作组模式下的用户活动

微信扫一扫,分享到朋友圈

Windows 10进阶:跟踪工作组模式下的用户活动
收藏 0 0

许多学校、办公室或小型组织,常采用WorkGroup工作组的方式使用Windows 10,通常会有一个管理员负责用户在其中工作的活动管理。有时,有用户会超出其权限限制,修改工作组模式中配置的账户,这可能对系统安全造成影响,因此需要跟踪用户的活动,对工作组和组中用户的变动情况有一个清晰的了解。那么,如何实现工作组模式下用户活动的跟踪呢?

小提示:本文所讲述的方法同样适用于Windows 8.1系统。

1. 使用审核策略实现活动跟踪

要实现活动跟踪,首先需要启用与此相关的本地安全策略。按下Win+R组合键启动“运行”框,在“运行”框中输入secpol.msc命令并回车运行,启动“本地安全策略”窗口(图1)。

在本地安全策略窗口中,从左侧窗格中依次选择“本地策略→审核策略”,在右侧窗格中会看到9个不同的审核策略,这些策略的默认“安全设置”均为“无审核”状态(图2)。

最后,一一双击这些策略,从“审核策略更改”操作窗口中,依次将这9个策略的审核操作选项“成功”和“失败”均选中,然后单击“应用”按钮并点击“确定”(图3)。

设置之后的列表显示状态为如图所示(图4)。

通过上述操作之后,Windows被配置为跟踪用户活动状态。接下来就可以跟踪用户活动,并获取跟踪记录了。

2. 用事件查看器跟踪查看用户活动情况

按下Win+R组合键,在“运行”对话框中运行eventvwr命令,启动事件查看器(图5)。

在事件查看器的左侧窗格中,依次选择“Windows日志→安全”,之后,我们在中部窗格的记录中,便可以看到Windows开始记录所有与安全有关的事件(图6)。

双击中部窗口中的任意事件,在弹出的“事件属性”窗口内,可看到事件ID信息(图7)。根据事件ID的序号,可判断创建组或用户时记录的事件。具体情况分用户管理、账户管理、组管理三类情况,分述如下:

要查看工作组中用户的创建或删除情况,可通过相应ID号来判断。如果是在工作组中创建了用户,就会出现4728、4720、4722、4738、4732等事件ID;若是删除了用户,就会出现4733、4729、4726等事件ID。具体情况见表1(表1)。

要查看用户账户的启用、禁用、密码重置、配置文件变动、账户更名等情况,只需通过如表2所示的与用户账户相关的几个ID事件,即可获知具体情况(表2)。

有关本地组的变动情况,如创建本地组、删除本地组、重命名本地组或从本地组删除与添加用户等活动,也可以通过如表3所示的一些ID事件的序号查看(表3)。

小提示:如果要获知更多关于当前事件的信息,单击“事件属性”窗口的“详细信息”选项卡,可在“友好视图”列表或“XML视图”列表中进行阅读(图8)。

小米10全新配色国风雅灰官宣:明早十点上市

上一篇

微软整治清理工具CCleaner:Windows Defender标记有害且直接拦截

下一篇

你也可能喜欢

发表评论

您的电子邮件地址不会被公开。 必填项已用 * 标注

提示:点击验证后方可评论!

 

插入图片

微信扫一扫

微信扫一扫