نحوه ردیابی فعالیت کاربر در حالت WorkGroup در ویندوز 11/10

عملکرد چند کاربره در ویندوز(Windows) ما را قادر می سازد تا به راحتی از آن در مکان های عمومی مانند مدارس، کالج ها، ادارات و غیره استفاده کنیم. در این مکان ها، به طور کلی یک مدیر وجود دارد که می تواند فعالیت های کاربرانی را که در آن کار می کنند تحت نظر داشته باشد. گاهی اوقات، کاربران از محدودیت های خود فراتر می روند و حساب های پیکربندی شده در حالت(Workgroup) گروه کاری را تغییر می دهند. این می تواند پیامدهای امنیتی داشته باشد، بنابراین ما باید ویندوز(Windows) را برای ردیابی فعالیت های کاربر پیکربندی کنیم.

با پیکربندی ویندوز(Windows) برای نظارت بر فعالیت‌های کاربران، می‌توانیم امنیت مدیریت را افزایش دهیم و همچنین می‌توانیم کاربران قربانی را با مشاهده سوابق آنها در صورت تخلف مجازات کنیم. در این مقاله روش پیگیری فعالیت های کاربران در Windows 11/10/8.1/8/7 با استفاده از Audit Policy را به شما می گوییم. در اینجا به این صورت است:

ردیابی فعالیت کاربر(Track User Activity) با استفاده از سیاست حسابرسی در حالت WorkGroup(WorkGroup Mode)

1. ترکیب (1.)Windows Key + R را فشار دهید، عبارت put secpol.msc را در  کادر محاوره ای Run تایپ کنید و (Run)Enter را بزنید تا Local Security Policy باز شود.

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode

2. در پنجره Local Security Policy ، تنظیمات امنیتی(Security Settings) > سیاست های محلی(Local Policies) > سیاست حسابرسی را(Audit Policy) گسترش دهید . حالا باید پنجره خود را شبیه این کنید:

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode-2

3. در قسمت سمت راست ، می‌توانید 9 سیاست حسابرسی(Audit…[]) را ببینید (pre-defined). (No auditing)روی(Click one) همه خط مشی ها یکی یکی کلیک کنید و گزینه Success and Failure را انتخاب کنید، روی Apply و سپس OK برای هر خط مشی کلیک کنید.

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode-3

به این ترتیب ویندوز(Windows) را برای ردیابی فعالیت کاربران پیکربندی خواهیم کرد.

برای دریافت رکوردهای ردیابی شده این مراحل را دنبال کنید:

ردیابی فعالیت کاربر با استفاده از نمایشگر رویداد(Trace User Activity Using Event Viewer)

1. ترکیب (1.)Windows Key + R را فشار دهید، عبارت put  eventvwr را در  کادر محاوره ای Run تایپ کنید و (Run)Enter را بزنید تا Event Viewer باز شود .

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode-4

2. اکنون در پنجره Event Viewe r، از پنجره سمت چپ، Windows Logs > Security را انتخاب کنید . در اینجا ویندوز یک رکورد از هر رویداد مربوط به امنیت را نگه می دارد.

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode-5

3. از پنجره مرکزی، روی هر رویدادی کلیک کنید تا اطلاعات آن را دریافت کنید:

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode-6

اکنون، در اینجا لیستی از شناسه‌های(IDs) رویداد آمده است که فعالیت‌های کاربر برای حساب‌ها را در حالت گروه کاری پوشش می‌دهد:

1. ایجاد کاربر:(Create User:) در زیر شناسه‌های رویداد(Event IDs) وجود دارد که هنگام ایجاد کاربر ثبت می‌شوند.

  • شناسه رویداد:(Event ID: ) 4728 | نوع:(Type: ) موفقیت حسابرسی | دسته:(Category: ) مدیریت گروه امنیتی | توضیحات:(Description: ) یک عضو به یک گروه جهانی با قابلیت امنیت اضافه شد.
  • شناسه رویداد:(Event ID: ) 4720 | نوع:(Type: ) موفقیت حسابرسی | دسته:(Category: ) مدیریت حساب کاربری | توضیحات:(Description: ) یک حساب کاربری ایجاد شد.
  • شناسه رویداد:(Event ID: ) 4722 | نوع:(Type: ) موفقیت حسابرسی | دسته:(Category: ) مدیریت حساب کاربری | توضیحات:(Description: ) یک حساب کاربری فعال شد.
  • شناسه رویداد:(Event ID: ) 4738 | نوع:(Type: ) حسابرسی موفقیت | دسته:(Category: ) مدیریت حساب کاربری | توضیحات:(Description: ) یک حساب کاربری تغییر کرده است.
  • شناسه رویداد:(Event ID: ) 4732 | نوع:(Type: ) حسابرسی موفقیت | دسته: (Category: ) مدیریت گروه امنیتی | توضیحات:(Description: ) یک عضو به یک گروه محلی با قابلیت امنیتی اضافه شد.

2. حذف کاربر:(Delete User: ) در زیر شناسه‌های رویداد(Event IDs) وجود دارد که هنگام حذف کاربر ثبت می‌شوند.

  • شناسه رویداد:(Event ID: ) 4733 | نوع:(Type: ) حسابرسی موفقیت | دسته: (Category: ) مدیریت گروه امنیتی | توضیحات:(Description: ) یک عضو از یک گروه محلی دارای امنیت حذف شد.
  • شناسه رویداد:(Event ID: ) 4729 | نوع:(Type: ) حسابرسی موفقیت | دسته: (Category: ) مدیریت گروه امنیتی | توضیحات:(Description: ) یک عضو به یک گروه جهانی با قابلیت امنیت اضافه شد.
  • شناسه رویداد:(Event ID: ) 4726 | نوع:( Type: ) حسابرسی موفقیت | دسته: (Category: ) مدیریت حساب کاربری | توضیحات:(Description: ) یک حساب کاربری حذف شد.

3. حساب کاربری غیرفعال شده:(User Account Disabled: ) در زیر شناسه‌های رویداد(Event IDs) وجود دارد که با غیرفعال شدن کاربر ثبت می‌شوند.

  • شناسه رویداد:(Event ID: ) 4725 | نوع:(Type: ) حسابرسی موفقیت | دسته: (Category: ) مدیریت حساب کاربری | توضیحات:(Description: ) یک حساب کاربری غیرفعال شد.
  • شناسه رویداد:(Event ID: ) 4738 | نوع:(Type: ) حسابرسی موفقیت | دسته: (Category: ) مدیریت حساب کاربری | توضیحات:(Description: ) یک حساب کاربری تغییر کرده است.

4. User Account Enabled: در زیر شناسه‌های رویداد(Event IDs) وجود دارد که با فعال شدن کاربر ثبت می‌شوند.

  • شناسه رویداد:(Event ID: ) 4722 | نوع:(Type: ) حسابرسی موفقیت | دسته: (Category: ) مدیریت حساب کاربری | توضیحات:(Description: ) یک حساب کاربری فعال شد.
  • شناسه رویداد:(Event ID: ) 4738 | نوع:(Type: ) حسابرسی موفقیت | دسته: (Category: ) مدیریت حساب کاربری | توضیحات:(Description: ) یک حساب کاربری تغییر کرده است.

5. بازنشانی گذرواژه حساب کاربری:(User Account Password Reset: ) در زیر شناسه‌های رویداد(Event IDs) وجود دارد که با بازنشانی رمز عبور حساب کاربری(User Account Password) ثبت می‌شوند .

  • شناسه رویداد:(Event ID: ) 4738 | نوع:(Type: ) حسابرسی موفقیت | دسته: (Category: ) مدیریت حساب کاربری | توضیحات:(Description: ) یک حساب کاربری تغییر کرده است.
  • شناسه رویداد:(Event ID: ) 4724 | نوع:(Type: ) حسابرسی موفقیت | دسته: (Category: ) مدیریت حساب کاربری | توضیحات:(Description: ) تلاشی برای بازنشانی رمز عبور حساب انجام شد.

6. مجموعه مسیر نمایه حساب کاربری: (User Account Profile Path Set: )در زیر(Below) شناسه رویداد(Event ID) است که با تنظیم مسیر نمایه(Profile Path) برای یک حساب کاربری ثبت می شود.

  • شناسه رویداد:(Event ID: ) 4738 | نوع:(Type: ) حسابرسی موفقیت | دسته: (Category: ) مدیریت حساب کاربری | توضیحات:(Description: ) یک حساب کاربری تغییر کرده است.

7. تغییر نام حساب کاربری:(User Account Rename: ) در زیر شناسه های رویدادی وجود دارد که با تغییر نام (Event IDs)حساب کاربری(User Account) وارد سیستم می شوند .

  •  شناسه رویداد:(Event ID: ) 4781 | نوع:(Type: ) حسابرسی موفقیت | دسته: (Category: ) مدیریت حساب کاربری | توضیحات:(Description: ) نام یک حساب کاربری تغییر کرد.
  • شناسه رویداد:(Event ID: ) 4738 | Type: حسابرسی موفقیت | دسته: (Category: ) مدیریت حساب کاربری | توضیحات:(Description: ) یک حساب کاربری تغییر کرده است.

8. ایجاد گروه محلی:(Create Local Group: ) در زیر شناسه های رویدادی(Event IDs) وجود دارد که هنگام ایجاد گروه محلی(Local Group) ثبت می شوند.

  • شناسه رویداد:(Event ID: ) 4731 | نوع:(Type: ) حسابرسی موفقیت | دسته: (Category: ) مدیریت گروه امنیتی | توضیحات:(Description: ) یک گروه محلی با قابلیت امنیتی ایجاد شد
  • شناسه رویداد:(Event ID: ) 4735 | نوع:(Type: ) حسابرسی موفقیت | دسته: (Category: ) مدیریت گروه امنیتی | توضیحات:(Description: ) یک گروه محلی با قابلیت امنیتی تغییر کرد

9. افزودن کاربر به گروه محلی: (Add User to Local Group: )در زیر(Below) شناسه رویداد است که با اضافه شدن کاربر به گروه (Event ID)محلی(Local) ثبت می شود .

  • شناسه رویداد:(Event ID: ) 4732 | نوع:(Type: ) حسابرسی موفقیت | دسته: (Category: ) مدیریت گروه امنیتی | توضیحات:(Description: ) یک عضو به یک گروه محلی با قابلیت امنیتی اضافه شد

10. Remove User from Local Group: در زیر(Below) شناسه  رویداد است که با حذف کاربر از گروه (Event ID)محلی(Local) ثبت می شود .

  • شناسه رویداد:(Event ID: ) 4733 | نوع:(Type:) حسابرسی موفقیت | دسته:(Category:)  مدیریت گروه امنیتی | توضیحات:(Description:) یک عضو از یک گروه محلی دارای امنیت حذف شد

11. حذف Local Group: (Delete Local Group: )در زیر(Below) شناسه رویداد(Event ID) است که با حذف Local Group ثبت می شود .

  • شناسه رویداد:(Event ID: ) 4734 | نوع:(Type: ) حسابرسی موفقیت | دسته: (Category: ) مدیریت گروه امنیتی | توضیحات:(Description: ) یک گروه محلی با قابلیت امنیتی حذف شد

12. تغییر نام گروه محلی:(Rename Local Group: ) در زیر شناسه های رویداد(Event IDs) وجود دارد که با تغییر نام گروه محلی(Local Group) ثبت می شود.

  • شناسه رویداد:(Event ID: ) 4781 | نوع:(Type: ) حسابرسی موفقیت | دسته: (Category: ) مدیریت حساب کاربری | توضیحات:(Description: ) نام یک حساب کاربری تغییر کرد
  • شناسه رویداد:(Event ID: ) 4735 | نوع:(Type: ) حسابرسی موفقیت | دسته: (Category: ) مدیریت گروه امنیتی | توضیحات:(Description: ) یک گروه محلی با قابلیت امنیتی تغییر کرد

به این ترتیب می توانید کاربران را با فعالیت های آنها ردیابی کنید. این مقاله برای Windows 11/10/8.1 در حالت Workgroup(Workgroup Mode) قابل استفاده است. برای دامنه اکتیو دایرکتوری(Directory Domain) ، رویه متفاوت خواهد بود.



About the author

من یک برنامه نویس کامپیوتر هستم و بیش از 15 سال است که هستم. مهارت های من در توسعه و نگهداری برنامه های کاربردی نرم افزاری و همچنین ارائه پشتیبانی فنی برای آن برنامه ها نهفته است. همچنین برنامه نویسی کامپیوتر را به دانش آموزان دبیرستانی آموزش داده ام و در حال حاضر یک مربی حرفه ای هستم.



Related posts