عملکرد چند کاربره در ویندوز^(Windows) ما را قادر می سازد تا به راحتی از آن در مکان های عمومی مانند مدارس، کالج ها، ادارات و غیره استفاده کنیم. در این مکان ها، به طور کلی یک مدیر وجود دارد که می تواند فعالیت های کاربرانی را که در آن کار می کنند تحت نظر داشته باشد. گاهی اوقات، کاربران از محدودیت های خود فراتر می روند و حساب های پیکربندی شده در حالت^(Workgroup) گروه کاری را تغییر می دهند. این می تواند پیامدهای امنیتی داشته باشد، بنابراین ما باید ویندوز^(Windows) را برای ردیابی فعالیت های کاربر پیکربندی کنیم.

با پیکربندی ویندوز^(Windows) برای نظارت بر فعالیت‌های کاربران، می‌توانیم امنیت مدیریت را افزایش دهیم و همچنین می‌توانیم کاربران قربانی را با مشاهده سوابق آنها در صورت تخلف مجازات کنیم. در این مقاله روش پیگیری فعالیت های کاربران در Windows 11/10/8.1/8/7 با استفاده از Audit Policy را به شما می گوییم. در اینجا به این صورت است:

ردیابی فعالیت کاربر^{(Track User Activity)} با استفاده از سیاست حسابرسی در حالت WorkGroup^{(WorkGroup Mode)}

1. ترکیب ^(1.)Windows Key + R را فشار دهید، عبارت put secpol.msc را در کادر محاوره ای Run تایپ کنید و ^(Run)Enter را بزنید تا Local Security Policy باز شود.

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode

2. در پنجره Local Security Policy ، تنظیمات امنیتی^{(Security Settings)} > سیاست های محلی^{(Local Policies)} > سیاست حسابرسی را^{(Audit Policy)} گسترش دهید . حالا باید پنجره خود را شبیه این کنید:

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode-2

3. در قسمت سمت راست ، می‌توانید 9 سیاست حسابرسی^(Audit…[]) را ببینید ^{(pre-defined)}. ^{(No auditing)}روی^{(Click one)} همه خط مشی ها یکی یکی کلیک کنید و گزینه Success and Failure را انتخاب کنید، روی Apply و سپس OK برای هر خط مشی کلیک کنید.

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode-3

به این ترتیب ویندوز^(Windows) را برای ردیابی فعالیت کاربران پیکربندی خواهیم کرد.

برای دریافت رکوردهای ردیابی شده این مراحل را دنبال کنید:

ردیابی فعالیت کاربر با استفاده از نمایشگر رویداد^{(Trace User Activity Using Event Viewer)}

1. ترکیب ^(1.)Windows Key + R را فشار دهید، عبارت put eventvwr را در کادر محاوره ای Run تایپ کنید و ^(Run)Enter را بزنید تا Event Viewer باز شود .

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode-4

2. اکنون در پنجره Event Viewe r، از پنجره سمت چپ، Windows Logs > Security را انتخاب کنید . در اینجا ویندوز یک رکورد از هر رویداد مربوط به امنیت را نگه می دارد.

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode-5

3. از پنجره مرکزی، روی هر رویدادی کلیک کنید تا اطلاعات آن را دریافت کنید:

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode-6

اکنون، در اینجا لیستی از شناسه‌های^(IDs) رویداد آمده است که فعالیت‌های کاربر برای حساب‌ها را در حالت گروه کاری پوشش می‌دهد:

1. ایجاد کاربر:^{(Create User:)} در زیر شناسه‌های رویداد^{(Event IDs)} وجود دارد که هنگام ایجاد کاربر ثبت می‌شوند.

شناسه رویداد:^{(Event ID: )} 4728 | نوع:^{(Type: )} موفقیت حسابرسی | دسته:^{(Category: )} مدیریت گروه امنیتی | توضیحات:^{(Description: )} یک عضو به یک گروه جهانی با قابلیت امنیت اضافه شد.

شناسه رویداد:^{(Event ID: )} 4720 | نوع:^{(Type: )} موفقیت حسابرسی | دسته:^{(Category: )} مدیریت حساب کاربری | توضیحات:^{(Description: )} یک حساب کاربری ایجاد شد.

شناسه رویداد:^{(Event ID: )} 4722 | نوع:^{(Type: )} موفقیت حسابرسی | دسته:^{(Category: )} مدیریت حساب کاربری | توضیحات:^{(Description: )} یک حساب کاربری فعال شد.

شناسه رویداد:^{(Event ID: )} 4738 | نوع:^{(Type: )} حسابرسی موفقیت | دسته:^{(Category: )} مدیریت حساب کاربری | توضیحات:^{(Description: )} یک حساب کاربری تغییر کرده است.

شناسه رویداد:^{(Event ID: )} 4732 | نوع:^{(Type: )} حسابرسی موفقیت | دسته: ^{(Category: )} مدیریت گروه امنیتی | توضیحات:^{(Description: )} یک عضو به یک گروه محلی با قابلیت امنیتی اضافه شد.

2. حذف کاربر:^{(Delete User: )} در زیر شناسه‌های رویداد^{(Event IDs)} وجود دارد که هنگام حذف کاربر ثبت می‌شوند.

شناسه رویداد:^{(Event ID: )} 4733 | نوع:^{(Type: )} حسابرسی موفقیت | دسته: ^{(Category: )} مدیریت گروه امنیتی | توضیحات:^{(Description: )} یک عضو از یک گروه محلی دارای امنیت حذف شد.

شناسه رویداد:^{(Event ID: )} 4729 | نوع:^{(Type: )} حسابرسی موفقیت | دسته: ^{(Category: )} مدیریت گروه امنیتی | توضیحات:^{(Description: )} یک عضو به یک گروه جهانی با قابلیت امنیت اضافه شد.

شناسه رویداد:^{(Event ID: )} 4726 | نوع:^{( Type: )} حسابرسی موفقیت | دسته: ^{(Category: )} مدیریت حساب کاربری | توضیحات:^{(Description: )} یک حساب کاربری حذف شد.

3. حساب کاربری غیرفعال شده:^{(User Account Disabled: )} در زیر شناسه‌های رویداد^{(Event IDs)} وجود دارد که با غیرفعال شدن کاربر ثبت می‌شوند.

شناسه رویداد:^{(Event ID: )} 4725 | نوع:^{(Type: )} حسابرسی موفقیت | دسته: ^{(Category: )} مدیریت حساب کاربری | توضیحات:^{(Description: )} یک حساب کاربری غیرفعال شد.

شناسه رویداد:^{(Event ID: )} 4738 | نوع:^{(Type: )} حسابرسی موفقیت | دسته: ^{(Category: )} مدیریت حساب کاربری | توضیحات:^{(Description: )} یک حساب کاربری تغییر کرده است.

4. User Account Enabled: در زیر شناسه‌های رویداد^{(Event IDs)} وجود دارد که با فعال شدن کاربر ثبت می‌شوند.

شناسه رویداد:^{(Event ID: )} 4722 | نوع:^{(Type: )} حسابرسی موفقیت | دسته: ^{(Category: )} مدیریت حساب کاربری | توضیحات:^{(Description: )} یک حساب کاربری فعال شد.

شناسه رویداد:^{(Event ID: )} 4738 | نوع:^{(Type: )} حسابرسی موفقیت | دسته: ^{(Category: )} مدیریت حساب کاربری | توضیحات:^{(Description: )} یک حساب کاربری تغییر کرده است.

5. بازنشانی گذرواژه حساب کاربری:^{(User Account Password Reset: )} در زیر شناسه‌های رویداد^{(Event IDs)} وجود دارد که با بازنشانی رمز عبور حساب کاربری^{(User Account Password)} ثبت می‌شوند .

شناسه رویداد:^{(Event ID: )} 4738 | نوع:^{(Type: )} حسابرسی موفقیت | دسته: ^{(Category: )} مدیریت حساب کاربری | توضیحات:^{(Description: )} یک حساب کاربری تغییر کرده است.

شناسه رویداد:^{(Event ID: )} 4724 | نوع:^{(Type: )} حسابرسی موفقیت | دسته: ^{(Category: )} مدیریت حساب کاربری | توضیحات:^{(Description: )} تلاشی برای بازنشانی رمز عبور حساب انجام شد.

6. مجموعه مسیر نمایه حساب کاربری: ^{(User Account Profile Path Set: )}در زیر^(Below) شناسه رویداد^{(Event ID)} است که با تنظیم مسیر نمایه^{(Profile Path)} برای یک حساب کاربری ثبت می شود.

شناسه رویداد:^{(Event ID: )} 4738 | نوع:^{(Type: )} حسابرسی موفقیت | دسته: ^{(Category: )} مدیریت حساب کاربری | توضیحات:^{(Description: )} یک حساب کاربری تغییر کرده است.

7. تغییر نام حساب کاربری:^{(User Account Rename: )} در زیر شناسه های رویدادی وجود دارد که با تغییر نام ^{(Event IDs)}حساب کاربری^{(User Account)} وارد سیستم می شوند .

شناسه رویداد:^{(Event ID: )} 4781 | نوع:^{(Type: )} حسابرسی موفقیت | دسته: ^{(Category: )} مدیریت حساب کاربری | توضیحات:^{(Description: )} نام یک حساب کاربری تغییر کرد.

شناسه رویداد:^{(Event ID: )} 4738 | Type: حسابرسی موفقیت | دسته: ^{(Category: )} مدیریت حساب کاربری | توضیحات:^{(Description: )} یک حساب کاربری تغییر کرده است.

8. ایجاد گروه محلی:^{(Create Local Group: )} در زیر شناسه های رویدادی^{(Event IDs)} وجود دارد که هنگام ایجاد گروه محلی^{(Local Group)} ثبت می شوند.

شناسه رویداد:^{(Event ID: )} 4731 | نوع:^{(Type: )} حسابرسی موفقیت | دسته: ^{(Category: )} مدیریت گروه امنیتی | توضیحات:^{(Description: )} یک گروه محلی با قابلیت امنیتی ایجاد شد

شناسه رویداد:^{(Event ID: )} 4735 | نوع:^{(Type: )} حسابرسی موفقیت | دسته: ^{(Category: )} مدیریت گروه امنیتی | توضیحات:^{(Description: )} یک گروه محلی با قابلیت امنیتی تغییر کرد

9. افزودن کاربر به گروه محلی: ^{(Add User to Local Group: )}در زیر^(Below) شناسه رویداد است که با اضافه شدن کاربر به گروه ^{(Event ID)}محلی^(Local) ثبت می شود .

شناسه رویداد:^{(Event ID: )} 4732 | نوع:^{(Type: )} حسابرسی موفقیت | دسته: ^{(Category: )} مدیریت گروه امنیتی | توضیحات:^{(Description: )} یک عضو به یک گروه محلی با قابلیت امنیتی اضافه شد

10. Remove User from Local Group: در زیر^(Below) شناسه رویداد است که با حذف کاربر از گروه ^{(Event ID)}محلی^(Local) ثبت می شود .

شناسه رویداد:^{(Event ID: )} 4733 | نوع:^(Type:) حسابرسی موفقیت | دسته:^(Category:) مدیریت گروه امنیتی | توضیحات:^{(Description:)} یک عضو از یک گروه محلی دارای امنیت حذف شد

11. حذف Local Group: ^{(Delete Local Group: )}در زیر^(Below) شناسه رویداد^{(Event ID)} است که با حذف Local Group ثبت می شود .

شناسه رویداد:^{(Event ID: )} 4734 | نوع:^{(Type: )} حسابرسی موفقیت | دسته: ^{(Category: )} مدیریت گروه امنیتی | توضیحات:^{(Description: )} یک گروه محلی با قابلیت امنیتی حذف شد

12. تغییر نام گروه محلی:^{(Rename Local Group: )} در زیر شناسه های رویداد^{(Event IDs)} وجود دارد که با تغییر نام گروه محلی^{(Local Group)} ثبت می شود.

شناسه رویداد:^{(Event ID: )} 4781 | نوع:^{(Type: )} حسابرسی موفقیت | دسته: ^{(Category: )} مدیریت حساب کاربری | توضیحات:^{(Description: )} نام یک حساب کاربری تغییر کرد

شناسه رویداد:^{(Event ID: )} 4735 | نوع:^{(Type: )} حسابرسی موفقیت | دسته: ^{(Category: )} مدیریت گروه امنیتی | توضیحات:^{(Description: )} یک گروه محلی با قابلیت امنیتی تغییر کرد

به این ترتیب می توانید کاربران را با فعالیت های آنها ردیابی کنید. این مقاله برای Windows 11/10/8.1 در حالت Workgroup^{(Workgroup Mode)} قابل استفاده است. برای دامنه اکتیو دایرکتوری^{(Directory Domain)} ، رویه متفاوت خواهد بود.

How to track User Activity in WorkGroup Mode on Windows 11/10

Multi-user functionality in Windows has enabled us to use it conveniently in public places like schools, colleges, offices, etc. At these places, there is generally an administrator, who manages to keep an eye on the activities of users working therein. Sometimes, users go beyond their limits and modify accounts configured in Workgroup mode. This can have security repercussions, and thus we should configure Windows to track down user activities.

By configuring Windows for monitoring user activities, we can increase the security of the administration and can also punish the victim users by observing their records in case of an offense. In this article, we’ll tell you the way to track user activities in Windows 11/10/8.1/8/7 using Audit Policy. Here is how:

Track User Activity using Audit Policy in WorkGroup Mode

1. Press Windows Key + R combination, type put secpol.msc in Run dialog box and hit Enter to open the Local Security Policy.

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode

2. In the Local Security Policy window, expand Security Settings > Local Policies > Audit Policy. Now you should get your window resembled with this one:

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode-2

3. In the right pane, you can see 9 Audit…[] policies have No auditing as pre-defined security setting. Click one by one all the policies and make the selection to Success and Failure, click Apply followed by OK for each policy.

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode-3

In this way, we will have configured Windows to track down user activity.

Follow these steps to get the traced records:

Trace User Activity Using Event Viewer

1. Press Windows Key + R combination, type put eventvwr in Run dialog box and hit Enter to open the Event Viewer.

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode-4

2. Now, in the Event Viewer window, from the left pane, select Windows Logs > Security. Here Windows keeps a record of every event concerning security.

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode-5

3. From the center pane, click any event to get its info:

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode-6

Now, here is the list of the event IDs which covers the user activities for the accounts in the workgroup mode:

1. Create User: Below are the Event IDs that get logged when the user is created.

Event ID: 4728 | Type: Audit Success | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

Event ID: 4720 | Type: Audit Success | Category: User Account Management | Description: A User account was created.

Event ID: 4722 | Type: Audit Success | Category: User Account Management | Description: A User account was enabled.

Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group.

2. Delete User: Below are the Event IDs that get logged when the user is deleted.

Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group.

Event ID: 4729 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

Event ID: 4726 | Type: Success Audit | Category: User Account Management | Description: A User account was deleted.

3. User Account Disabled: Below are the Event IDs that get logged when the user is disabled.

Event ID: 4725 | Type: Success Audit | Category: User Account Management | Description: A User account was disabled.

Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

4. User Account Enabled: Below are the Event IDs that get logged when the user is enabled.

Event ID: 4722 | Type: Success Audit | Category: User Account Management | Description: A User account was enabled.

Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

5. User Account Password Reset: Below are the Event IDs that get logged when the User Account Password gets reset.

Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

Event ID: 4724 | Type: Success Audit | Category: User Account Management | Description: An attempt was made to reset an account’s password.

6. User Account Profile Path Set: Below is the Event ID that gets logged when Profile Path gets set for a user account.

Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

7. User Account Rename: Below are the Event IDs that get logged when the User Account is renamed.

Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: The name of an account was changed.

Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User Account was changed.

8. Create Local Group: Below are the Event IDs that get logged when the Local Group is created.

Event ID: 4731 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was created

Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

9. Add User to Local Group: Below is the Event ID that gets logged when the user gets added to the Local group.

Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group

10. Remove User from Local Group: Below is the Event ID that gets logged when the user is removed from the Local group.

Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group

11. Delete Local Group: Below is the Event ID that gets logged when the Local Group is deleted.

Event ID: 4734 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was deleted

12. Rename Local Group: Below are the Event IDs that get logged when the Local Group is renamed.

Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: A name of an account was changed

Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

In this way, you can trace users with their activities. This article is applicable for Windows 11/10/8.1 in Workgroup Mode. For Active Directory Domain, the procedure will be different.

نظام بیگی

About the author

من یک برنامه نویس کامپیوتر هستم و بیش از 15 سال است که هستم. مهارت های من در توسعه و نگهداری برنامه های کاربردی نرم افزاری و همچنین ارائه پشتیبانی فنی برای آن برنامه ها نهفته است. همچنین برنامه نویسی کامپیوتر را به دانش آموزان دبیرستانی آموزش داده ام و در حال حاضر یک مربی حرفه ای هستم.

نحوه ردیابی فعالیت کاربر در حالت WorkGroup در ویندوز 11/10

ردیابی فعالیت کاربر^{(Track User Activity)} با استفاده از سیاست حسابرسی در حالت WorkGroup^{(WorkGroup Mode)}

ردیابی فعالیت کاربر با استفاده از نمایشگر رویداد^{(Trace User Activity Using Event Viewer)}

How to track User Activity in WorkGroup Mode on Windows 11/10

Track User Activity using Audit Policy in WorkGroup Mode

Trace User Activity Using Event Viewer

نظام بیگی

About the author

Related posts

Delete پروفایل های کاربر قدیمی و فایل ها به طور خودکار در Windows 10

چگونه برای اضافه کردن Group Policy Editor به Windows 10 Home Edition

چگونه به فعال یا غیر فعال Win32 Long Paths در Windows 10

چگونه Picture Password Sign-In option را در Windows 10 غیرفعال کنیم

نحوه مشخص کردن Minimum and Maximum PIN length در Windows 10

Limit Reservable Bandwidth Setting در Windows 10

نحوه قفل کردن تمام تنظیمات Taskbar در Windows 10

چگونه Import or Export Group Policy settings در Windows 10

تنظیم یک Default User Logon Picture برای تمام کاربران در Windows 10

Group Policy Settings Reference Guide برای Windows 10

چگونه NVIDIA Low Latency Mode را در Windows 10 فعال کنیم

چگونه Group Policy Update را در Windows 10 مجبور کنیم

چگونه برای فعال کردن یا Disable or Application Isolation feature در Windows 10

تغییر Delivery Optimization Cache Drive برای Windows Updates

تغییر Windows Update Delivery Optimization Max Cache Age

Create Local Administrator Account در Windows 10 با استفاده از CMD

چگونه به بهبود User account نمایه حذف در Windows 10

dependency Service or Group قادر به شروع در Windows 10

Windows 10 کند در Windows 10 نمی Sleep | Sleep Mode کار نمی کند

چگونه به درخواست Group Policy به Non-Administrators تنها در Windows 10

نحوه ردیابی فعالیت کاربر در حالت WorkGroup در ویندوز 11/10

ردیابی فعالیت کاربر(Track User Activity) با استفاده از سیاست حسابرسی در حالت WorkGroup(WorkGroup Mode)

ردیابی فعالیت کاربر با استفاده از نمایشگر رویداد(Trace User Activity Using Event Viewer)

How to track User Activity in WorkGroup Mode on Windows 11/10

Track User Activity using Audit Policy in WorkGroup Mode

Trace User Activity Using Event Viewer

نظام بیگی

About the author

Related posts

Delete پروفایل های کاربر قدیمی و فایل ها به طور خودکار در Windows 10

چگونه برای اضافه کردن Group Policy Editor به Windows 10 Home Edition

چگونه به فعال یا غیر فعال Win32 Long Paths در Windows 10

چگونه Picture Password Sign-In option را در Windows 10 غیرفعال کنیم

نحوه مشخص کردن Minimum and Maximum PIN length در Windows 10

Limit Reservable Bandwidth Setting در Windows 10

نحوه قفل کردن تمام تنظیمات Taskbar در Windows 10

چگونه Import or Export Group Policy settings در Windows 10

تنظیم یک Default User Logon Picture برای تمام کاربران در Windows 10

Group Policy Settings Reference Guide برای Windows 10

چگونه NVIDIA Low Latency Mode را در Windows 10 فعال کنیم

چگونه Group Policy Update را در Windows 10 مجبور کنیم

چگونه برای فعال کردن یا Disable or Application Isolation feature در Windows 10

تغییر Delivery Optimization Cache Drive برای Windows Updates

تغییر Windows Update Delivery Optimization Max Cache Age

Create Local Administrator Account در Windows 10 با استفاده از CMD

چگونه به بهبود User account نمایه حذف در Windows 10

dependency Service or Group قادر به شروع در Windows 10

Windows 10 کند در Windows 10 نمی Sleep | Sleep Mode کار نمی کند

چگونه به درخواست Group Policy به Non-Administrators تنها در Windows 10

ردیابی فعالیت کاربر^{(Track User Activity)} با استفاده از سیاست حسابرسی در حالت WorkGroup^{(WorkGroup Mode)}

ردیابی فعالیت کاربر با استفاده از نمایشگر رویداد^{(Trace User Activity Using Event Viewer)}