De functionaliteit voor meerdere gebruikers in Windows heeft ons in staat gesteld om het gemakkelijk te gebruiken op openbare plaatsen zoals scholen, hogescholen, kantoren, enz. Op deze plaatsen is er over het algemeen een beheerder die erin slaagt een oogje te houden op de activiteiten van gebruikers die daar werken. Soms overschrijden gebruikers hun limieten en passen ze accounts aan die in de werkgroepmodus^(Workgroup) zijn geconfigureerd . Dit kan gevolgen hebben voor de veiligheid en daarom moeten we Windows configureren om gebruikersactiviteiten op te sporen.

Door Windows^(Windows) te configureren voor het monitoren van gebruikersactiviteiten, kunnen we de veiligheid van de administratie verhogen en kunnen we ook de slachtoffergebruikers straffen door hun gegevens te observeren in geval van een overtreding. In dit artikel vertellen we u hoe u gebruikersactiviteiten in Windows 11/10/8.1/8/7 kunt volgen met behulp van Auditbeleid. Hier is hoe:

Gebruikersactiviteit^{(Track User Activity)} volgen met behulp van auditbeleid in werkgroepmodus^{(WorkGroup Mode)}

1. Druk op de combinatie Windows Key + R , typ put secpol.msc in het  dialoogvenster Uitvoeren en druk op Enter ^(Run)om^(Enter) het lokale beveiligingsbeleid^{(Local Security Policy)} te openen .

2. Vouw in het venster Lokaal beveiligingsbeleid ^{(Local Security Policy)}Beveiligingsinstellingen^{(Security Settings)} > Lokaal beleid^{(Local Policies)} > Auditbeleid^{(Audit Policy)} uit . Nu zou je venster op dit moeten lijken:

3. In het rechterdeelvenster ziet u 9 Audit…[]- beleidsregels hebben Geen controle^{(No auditing)} als vooraf gedefinieerde^{(pre-defined)} beveiligingsinstelling. Klik één^{(Click one)} voor één op alle beleidsregels en maak de selectie bij Succes^(Success) en Mislukken^(Failure) , klik op Toepassen^{( Apply)} gevolgd door OK voor elk beleid.

Op deze manier hebben we Windows geconfigureerd om gebruikersactiviteit op te sporen.

Volg deze stappen om de getraceerde records op te halen:

Traceer gebruikersactiviteit met Event Viewer^{(Trace User Activity Using Event Viewer)}

1. Druk op Windows Key + R combinatie, typ put  eventvwr in het  dialoogvenster Uitvoeren en druk op Enter ^(Run)om^(Enter) de Event Viewer te openen .

2. Selecteer nu in het venster Event Viewer^{(Event Viewe)} in het linkerdeelvenster Windows Logs > Security . Hier houdt Windows elke gebeurtenis met betrekking tot beveiliging bij.

3. Klik in het middelste deelvenster op een evenement om de informatie te krijgen:

Hier is nu de lijst met gebeurtenis - ID's die de gebruikersactiviteiten voor de accounts in de werkgroepmodus dekt:

1. Gebruiker maken:^{(Create User:)} Hieronder vindt u de gebeurtenis-ID's^{(Event IDs)} die worden vastgelegd wanneer de gebruiker wordt gemaakt.

• Evenement-ID:^{(Event ID: )} 4728 | Type: Audit succes | Categorie:^{(Category: )} Beheer van beveiligingsgroepen | Beschrijving:^{(Description: )} er is een lid toegevoegd aan een globale groep met ingeschakelde beveiliging.

• Evenement-ID:^{(Event ID: )} 4720 | Type: Audit succes | Categorie:^{(Category: )} Gebruikersaccountbeheer | Beschrijving:^{(Description: )} Er is een gebruikersaccount aangemaakt.

• Evenement-ID:^{(Event ID: )} 4722 | Type: Audit succes | Categorie:^{(Category: )} Gebruikersaccountbeheer | Beschrijving:^{(Description: )} er is een gebruikersaccount ingeschakeld.

• Evenement-ID:^{(Event ID: )} 4738 | Type: Succesaudit | Categorie:^{(Category: )} Gebruikersaccountbeheer | Beschrijving:^{(Description: )} een gebruikersaccount is gewijzigd.

• Gebeurtenis-ID:^{(Event ID: )} 4732 | Type: Succesaudit | Categorie: ^{(Category: )} Beheer van beveiligingsgroepen | Beschrijving:^{(Description: )} er is een lid toegevoegd aan een lokale groep met ingeschakelde beveiliging.

2. Gebruiker verwijderen:^{(Delete User: )} Hieronder staan ​​de gebeurtenis-ID's^{(Event IDs)} die worden vastgelegd wanneer de gebruiker wordt verwijderd.

• Evenement-ID:^{(Event ID: )} 4733 | Type: Succesaudit | Categorie: ^{(Category: )} Beheer van beveiligingsgroepen | Beschrijving:^{(Description: )} een lid is verwijderd uit een lokale groep met ingeschakelde beveiliging.

• Evenement-ID:^{(Event ID: )} 4729 | Type: Succesaudit | Categorie: ^{(Category: )} Beheer van beveiligingsgroepen | Beschrijving:^{(Description: )} er is een lid toegevoegd aan een globale groep met ingeschakelde beveiliging.

• Evenement-ID:^{(Event ID: )} 4726 | Type: Succesaudit | Categorie: ^{(Category: )} Gebruikersaccountbeheer | Beschrijving:^{(Description: )} een gebruikersaccount is verwijderd.

3. Gebruikersaccount uitgeschakeld:^{(User Account Disabled: )} Hieronder staan ​​de gebeurtenis-ID's^{(Event IDs)} die worden vastgelegd wanneer de gebruiker is uitgeschakeld.

• Evenement-ID:^{(Event ID: )} 4725 | Type: Succesaudit | Categorie: ^{(Category: )} Gebruikersaccountbeheer | Beschrijving:^{(Description: )} een gebruikersaccount is uitgeschakeld.

• Evenement-ID:^{(Event ID: )} 4738 | Type: Succesaudit | Categorie: ^{(Category: )} Gebruikersaccountbeheer | Beschrijving:^{(Description: )} een gebruikersaccount is gewijzigd.

4. Gebruikersaccount ingeschakeld:^{(User Account Enabled: )} Hieronder staan ​​de gebeurtenis-ID's^{(Event IDs)} die worden vastgelegd wanneer de gebruiker is ingeschakeld.

• Evenement-ID:^{(Event ID: )} 4722 | Type: Succesaudit | Categorie: ^{(Category: )} Gebruikersaccountbeheer | Beschrijving:^{(Description: )} er is een gebruikersaccount ingeschakeld.

• Evenement-ID:^{(Event ID: )} 4738 | Type: Succesaudit | Categorie: ^{(Category: )} Gebruikersaccountbeheer | Beschrijving:^{(Description: )} een gebruikersaccount is gewijzigd.

5. Wachtwoord opnieuw instellen gebruikersaccount:^{(User Account Password Reset: )} Hieronder staan ​​de gebeurtenis-ID's^{(Event IDs)} die worden vastgelegd wanneer het wachtwoord van het gebruikersaccount^{(User Account Password)} opnieuw wordt ingesteld.

• Evenement-ID:^{(Event ID: )} 4738 | Type: Succesaudit | Categorie: ^{(Category: )} Gebruikersaccountbeheer | Beschrijving:^{(Description: )} een gebruikersaccount is gewijzigd.

• Evenement-ID:^{(Event ID: )} 4724 | Type: Succesaudit | Categorie: ^{(Category: )} Gebruikersaccountbeheer | Beschrijving:^{(Description: )} er is geprobeerd het wachtwoord van een account opnieuw in te stellen.

6. Gebruikersaccountprofielpad ingesteld: ^{(User Account Profile Path Set: )}Hieronder^(Below) vindt u de gebeurtenis-ID^{(Event ID)} die wordt vastgelegd wanneer het profielpad^{(Profile Path)} wordt ingesteld voor een gebruikersaccount.

• Evenement-ID:^{(Event ID: )} 4738 | Type: Succesaudit | Categorie: ^{(Category: )} Gebruikersaccountbeheer | Beschrijving:^{(Description: )} een gebruikersaccount is gewijzigd.

7. Naam van gebruikersaccount wijzigen:^{(User Account Rename: )} Hieronder staan ​​de gebeurtenis-ID's^{(Event IDs)} die worden vastgelegd wanneer de naam van de gebruikersaccount^{(User Account)} wordt gewijzigd.

•  Evenement-ID:^{(Event ID: )} 4781 | Type: Succesaudit | Categorie: ^{(Category: )} Gebruikersaccountbeheer | Beschrijving:^{(Description: )} de naam van een account is gewijzigd.

• Evenement-ID:^{(Event ID: )} 4738 | Type: Succesaudit | Categorie: ^{(Category: )} Gebruikersaccountbeheer | Beschrijving:^{(Description: )} een gebruikersaccount is gewijzigd.

8. Maak een lokale groep:^{(Create Local Group: )} Hieronder staan ​​de gebeurtenis-ID's^{(Event IDs)} die worden vastgelegd wanneer de lokale groep^{(Local Group)} wordt gemaakt.

• Evenement-ID:^{(Event ID: )} 4731 | Type: Succesaudit | Categorie: ^{(Category: )} Beheer van beveiligingsgroepen | Beschrijving:^{(Description: )} er is een lokale groep met ingeschakelde beveiliging gemaakt

• Evenement-ID:^{(Event ID: )} 4735 | Type: Succesaudit | Categorie: ^{(Category: )} Beheer van beveiligingsgroepen | Beschrijving:^{(Description: )} een lokale groep met ingeschakelde beveiliging is gewijzigd

9. Voeg gebruiker toe aan lokale groep: ^{(Add User to Local Group: )}Hieronder^(Below) staat de gebeurtenis-ID^{(Event ID)} die wordt geregistreerd wanneer de gebruiker wordt toegevoegd aan de lokale^(Local) groep.

• Gebeurtenis-ID:^{(Event ID: )} 4732 | Type: Succesaudit | Categorie: ^{(Category: )} Beheer van beveiligingsgroepen | Beschrijving:^{(Description: )} een lid is toegevoegd aan een lokale groep met ingeschakelde beveiliging

10. Gebruiker verwijderen uit lokale groep: ^{(Remove User from Local Group: )}Hieronder^(Below) vindt u de  gebeurtenis-ID^{(Event ID)} die wordt vastgelegd wanneer de gebruiker wordt verwijderd uit de lokale^(Local) groep.

• Evenement-ID:^{(Event ID: )} 4733 | Type: Succesaudit | Categorie:^(Category:)  Beheer van beveiligingsgroepen | Beschrijving:^{(Description:)} een lid is verwijderd uit een lokale groep met ingeschakelde beveiliging

11. Lokale groep verwijderen: ^{(Delete Local Group: )}Hieronder^(Below) vindt u de gebeurtenis-ID^{(Event ID)} die wordt vastgelegd wanneer de lokale groep^{(Local Group)} wordt verwijderd.

• Evenement-ID:^{(Event ID: )} 4734 | Type: Succesaudit | Categorie: ^{(Category: )} Beheer van beveiligingsgroepen | Beschrijving:^{(Description: )} een lokale groep met ingeschakelde beveiliging is verwijderd

12. Naam lokale groep wijzigen:^{(Rename Local Group: )} Hieronder staan ​​de gebeurtenis-ID's^{(Event IDs)} die worden vastgelegd wanneer de naam van de lokale groep^{(Local Group)} wordt gewijzigd.

• Evenement-ID:^{(Event ID: )} 4781 | Type: Succesaudit | Categorie: ^{(Category: )} Gebruikersaccountbeheer | Beschrijving:^{(Description: )} een naam van een account is gewijzigd

• Evenement-ID:^{(Event ID: )} 4735 | Type: Succesaudit | Categorie: ^{(Category: )} Beheer van beveiligingsgroepen | Beschrijving:^{(Description: )} een lokale groep met ingeschakelde beveiliging is gewijzigd

Op deze manier kunt u gebruikers traceren met hun activiteiten. Dit artikel is van toepassing op Windows 11/10/8.1 in werkgroepmodus^{(Workgroup Mode)} . Voor Active Directory Domain is de procedure anders.

How to track User Activity in WorkGroup Mode on Windows 11/10

Multi-user functionality in Windows has enabled us to use it conveniently in public places like schools, colleges, offices, etc. At these places, there is generally an administrator, who manages to keep an eye on the activities of users working therein. Sometimes, users go beyond their limits and modify accounts configured in Workgroup mode. This can have security repercussions, and thus we should configure Windows to track down user activities.

By configuring Windows for monitoring user activities, we can increase the security of the administration and can also punish the victim users by observing their records in case of an offense. In this article, we’ll tell you the way to track user activities in Windows 11/10/8.1/8/7 using Audit Policy. Here is how:

Track User Activity using Audit Policy in WorkGroup Mode

1. Press Windows Key + R combination, type put secpol.msc in Run dialog box and hit Enter to open the Local Security Policy.

2. In the Local Security Policy window, expand Security Settings > Local Policies > Audit Policy. Now you should get your window resembled with this one:

3. In the right pane, you can see 9 Audit…[] policies have No auditing as pre-defined security setting. Click one by one all the policies and make the selection to Success and Failure, click Apply followed by OK for each policy.

In this way, we will have configured Windows to track down user activity.

Follow these steps to get the traced records:

Trace User Activity Using Event Viewer

1. Press Windows Key + R combination, type put eventvwr in Run dialog box and hit Enter to open the Event Viewer.

2. Now, in the Event Viewer window, from the left pane, select Windows Logs > Security. Here Windows keeps a record of every event concerning security.

3. From the center pane, click any event to get its info:

Now, here is the list of the event IDs which covers the user activities for the accounts in the workgroup mode:

1. Create User: Below are the Event IDs that get logged when the user is created.

• Event ID: 4728 | Type: Audit Success | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4720 | Type: Audit Success | Category: User Account Management | Description: A User account was created.

• Event ID: 4722 | Type: Audit Success | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group.

2. Delete User: Below are the Event IDs that get logged when the user is deleted.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group.

• Event ID: 4729 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4726 | Type: Success Audit | Category: User Account Management | Description: A User account was deleted.

3. User Account Disabled: Below are the Event IDs that get logged when the user is disabled.

• Event ID: 4725 | Type: Success Audit | Category: User Account Management | Description: A User account was disabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

4. User Account Enabled: Below are the Event IDs that get logged when the user is enabled.

• Event ID: 4722 | Type: Success Audit | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

5. User Account Password Reset: Below are the Event IDs that get logged when the User Account Password gets reset.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4724 | Type: Success Audit | Category: User Account Management | Description: An attempt was made to reset an account’s password.

6. User Account Profile Path Set: Below is the Event ID that gets logged when Profile Path gets set for a user account.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

7. User Account Rename: Below are the Event IDs that get logged when the User Account is renamed.

•  Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: The name of an account was changed.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User Account was changed.

8. Create Local Group: Below are the Event IDs that get logged when the Local Group is created.

• Event ID: 4731 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was created

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

9. Add User to Local Group: Below is the Event ID that gets logged when the user gets added to the Local group.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group

10. Remove User from Local Group: Below is the Event ID that gets logged when the user is removed from the Local group.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group

11. Delete Local Group: Below is the Event ID that gets logged when the Local Group is deleted.

• Event ID: 4734 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was deleted

12. Rename Local Group: Below are the Event IDs that get logged when the Local Group is renamed.

• Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: A name of an account was changed

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

In this way, you can trace users with their activities. This article is applicable for Windows 11/10/8.1 in Workgroup Mode. For Active Directory Domain, the procedure will be different.

Related posts

• Oude gebruikersprofielen en bestanden automatisch verwijderen in Windows 11/10

• Hoe Groepsbeleid-editor toe te voegen aan Windows 11/10 Home Edition

• Win32 Long Paths in- of uitschakelen op Windows 11/10

• De aanmeldingsoptie voor beeldwachtwoord uitschakelen in Windows 11/10

• Hoe de minimale en maximale lengte van de pincode op te geven in Windows 11/10

• Instellingen voor groepsbeleid ontbreken in Windows 11/10

• Snelle aanmeldingsoptimalisatie in- of uitschakelen in Windows 11/10

• Voorkom dat Windows 10 Microsoft Edge vooraf laadt bij het opstarten

• Autocorrectie inschakelen, uitschakelen en verkeerd gespelde woorden markeren in Windows

• Hoe de deadline voor automatisch herstarten voor update-installatie op te geven?

• Hoe het verwijderde gebruikersaccountprofiel te herstellen in Windows 11/10

• Hoe de ingebouwde beheerdersaccount in Windows 11/10 te verwijderen?

• De Groepsbeleid-clientservice is mislukt bij het aanmelden in Windows 11/10

• Groepsbeleid toepassen op niet-beheerders alleen in Windows 10

• Cache-station voor optimalisatie van bezorging wijzigen voor Windows-updates

• Kun je Windows Updates installeren in de veilige modus in Windows 11/10?

• Schakel de weergave van recente zoekopdrachten in Verkenner uit in Windows 11/10

• Groepsbeleid Registerlocatie in Windows 11/10

• Hoe Groepsbeleid-update te forceren in Windows 11/10

• Maak een snelkoppeling op het bureaublad om van gebruikersaccount te wisselen in Windows 11/10