找回密码
 立即注册

手机号码,快捷登录

快捷导航
发帖
返回首页
查看: 11|回复: 0

[系统] 跟踪工作组模式下的用户活动

[复制链接]
亲密认证2
发表于 2020-7-31 09:32 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
许多学校、办公室或小型组织,常采用WorkGroup工作组的方式使用Windows 10,通常会有一个管理员负责用户在其中工作的活动管理。有时,有用户会超出其权限限制,修改工作组模式中配置的账户,这可能对系统安全造成影响,因此需要跟踪用户的活动,对工作组和组中用户的变动情况有一个清晰的了解。那么,如何实现工作组模式下用户活动的跟踪呢?
小提示:本文所讲述的方法同样适用于Windows 8.1系统。
1. 使用审核策略实现活动跟踪
要实现活动跟踪,首先需要启用与此相关的本地安全策略。按下Win+R组合键启动“运行”框,在“运行”框中输入secpol.msc命令并回车运行,启动“本地安全策略”窗口(图1)。
(1).png
在本地安全策略窗口中,从左侧窗格中依次选择“本地策略→审核策略”,在右侧窗格中会看到9个不同的审核策略,这些策略的默认“安全设置”均为“无审核”状态(图2)。
(2).png
最后,一一双击这些策略,从“审核策略更改”操作窗口中,依次将这9个策略的审核操作选项“成功”和“失败”均选中,然后单击“应用”按钮并点击“确定”(图3)。
(3).png
设置之后的列表显示状态为如图所示(图4)。
(4).png
通过上述操作之后,Windows被配置为跟踪用户活动状态。接下来就可以跟踪用户活动,并获取跟踪记录了。
2. 用事件查看器跟踪查看用户活动情况
按下Win+R组合键,在“运行”对话框中运行eventvwr命令,启动事件查看器(图5)。
(5).png
在事件查看器的左侧窗格中,依次选择“Windows日志→安全”,之后,我们在中部窗格的记录中,便可以看到Windows开始记录所有与安全有关的事件(图6)。
(6).png
双击中部窗口中的任意事件,在弹出的“事件属性”窗口内,可看到事件ID信息(图7)。根据事件ID的序号,可判断创建组或用户时记录的事件。具体情况分用户管理、账户管理、组管理三类情况,分述如下:
(7).png
要查看工作组中用户的创建或删除情况,可通过相应ID号来判断。如果是在工作组中创建了用户,就会出现4728、4720、4722、4738、4732等事件ID;若是删除了用户,就会出现4733、4729、4726等事件ID。具体情况见表1(表1)。
(8).png
要查看用户账户的启用、禁用、密码重置、配置文件变动、账户更名等情况,只需通过如表2所示的与用户账户相关的几个ID事件,即可获知具体情况(表2)。
(9).png
有关本地组的变动情况,如创建本地组、删除本地组、重命名本地组或从本地组删除与添加用户等活动,也可以通过如表3所示的一些ID事件的序号查看(表3)。
(10).png
小提示:如果要获知更多关于当前事件的信息,单击“事件属性”窗口的“详细信息”选项卡,可在“友好视图”列表或“XML视图”列表中进行阅读(图8)。
(11).png

回复 送花

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

下载客户端
安卓客户端 IOS客户端

快来加入我们吧!!

官方微信公众号

东篱雅苑QQ群
交流群:5210000
事务群:8000017
墨羽QQ:800063

Powered by Discuz! X3.4© 2001-2013 Comsenz Inc.

小黑屋| 东篱雅苑

GMT+8, 2020-8-6 21:53 , Processed in 0.153193 second(s), 55 queries .