A funcionalidade multiusuário do Windows nos permitiu usá-lo convenientemente em locais públicos como escolas, faculdades, escritórios, etc. Nesses locais, geralmente há um administrador, que consegue acompanhar as atividades dos usuários que neles trabalham. Às vezes, os usuários vão além de seus limites e modificam contas configuradas no modo Workgroup . Isso pode ter repercussões na segurança e, portanto, devemos configurar o Windows^(Windows) para rastrear as atividades do usuário.

Ao configurar o Windows^(Windows) para monitorar as atividades dos usuários, podemos aumentar a segurança da administração e também punir os usuários vítimas observando seus registros em caso de infração. Neste artigo, mostraremos como rastrear as atividades do usuário no Windows 11/10/8.1/8/7 usando a Política de Auditoria. Aqui está como:

Acompanhe a atividade do usuário^{(Track User Activity)} usando a política de auditoria no modo de grupo de trabalho^{(WorkGroup Mode)}

1. Pressione a combinação de tecla Windows Key + Rsecpol.msc na  caixa de diálogo Executar e pressione ^(Run)Enter para abrir a Política de Segurança Local^{(Local Security Policy)} .

2. Na janela Política de segurança local^{(Local Security Policy)} , expanda Configurações de segurança^{(Security Settings)} > Políticas locais^{(Local Policies)} > Política de auditoria^{(Audit Policy)} . Agora você deve ter sua janela parecida com esta:

3. No painel direito, você pode ver 9 Políticas de auditoria…[] ^(Audit…[])sem auditoria^{(No auditing)} como configuração de segurança predefinida . ^{(pre-defined)}Clique uma^{(Click one)} a uma em todas as políticas e faça a seleção para Sucesso^(Success) e Falha^(Failure) , clique em Aplicar^{( Apply)} seguido de OK para cada política.

Dessa forma, teremos configurado o Windows^(Windows) para rastrear a atividade do usuário.

Siga estas etapas para obter os registros rastreados:

Rastrear a atividade do usuário usando o Visualizador de eventos^{(Trace User Activity Using Event Viewer)}

1. Pressione a combinação de  tecla Windows Key + Reventvwr na  caixa de diálogo Executar e pressione ^(Run)Enter para abrir o Visualizador de Eventos^{(Event Viewer)} .

2. Agora, na janela Visualizador de eventos^{(Event Viewe)} , no painel esquerdo, selecione Logs do Windows^{(Windows Logs)} > Segurança^(Security) . Aqui o Windows mantém um registro de todos os eventos relacionados à segurança.

3. No painel central, clique em qualquer evento para obter suas informações:

Agora, aqui está a lista de IDs de evento que abrange as atividades do usuário para as contas no modo de grupo de trabalho:

1. Criar usuário:^{(Create User:)} Abaixo estão os IDs de eventos^{(Event IDs)} que são registrados quando o usuário é criado.

• ID do evento:^{(Event ID: )} 4728 | Tipo:^{(Type: )} Sucesso de Auditoria | Categoria:^{(Category: )} Gerenciamento de Grupo de Segurança | Descrição:^{(Description: )} um membro foi adicionado a um grupo global habilitado para segurança.

• ID do evento:^{(Event ID: )} 4720 | Tipo:^{(Type: )} Sucesso de Auditoria | Categoria:^{(Category: )} Gerenciamento de conta de usuário | Descrição:^{(Description: )} Uma conta de usuário foi criada.

• ID do evento:^{(Event ID: )} 4722 | Tipo:^{(Type: )} Sucesso de Auditoria | Categoria:^{(Category: )} Gerenciamento de conta de usuário | Descrição:^{(Description: )} Uma conta de usuário foi habilitada.

• ID do evento:^{(Event ID: )} 4738 | Tipo:^{(Type: )} Auditoria de Sucesso | Categoria:^{(Category: )} Gerenciamento de conta de usuário | Descrição:^{(Description: )} Uma conta de usuário foi alterada.

• ID do evento:^{(Event ID: )} 4732 | Tipo:^{(Type: )} Auditoria de Sucesso | Categoria: ^{(Category: )} Gerenciamento de Grupo de Segurança | Descrição:^{(Description: )} um membro foi adicionado a um grupo local habilitado para segurança.

2. Excluir usuário:^{(Delete User: )} Abaixo estão os IDs de eventos^{(Event IDs)} que são registrados quando o usuário é excluído.

• ID do evento:^{(Event ID: )} 4733 | Tipo:^{(Type: )} Auditoria de Sucesso | Categoria: ^{(Category: )} Gerenciamento de Grupo de Segurança | Descrição:^{(Description: )} um membro foi removido de um grupo local habilitado para segurança.

• ID do evento:^{(Event ID: )} 4729 | Tipo:^{(Type: )} Auditoria de Sucesso | Categoria: ^{(Category: )} Gerenciamento de Grupo de Segurança | Descrição:^{(Description: )} um membro foi adicionado a um grupo global habilitado para segurança.

• ID do evento:^{(Event ID: )} 4726 | Tipo:^{( Type: )} Auditoria de Sucesso | Categoria: ^{(Category: )} Gerenciamento de conta de usuário | Descrição:^{(Description: )} uma conta de usuário foi excluída.

3. Conta de usuário desabilitada:^{(User Account Disabled: )} Abaixo estão os IDs de eventos^{(Event IDs)} que são registrados quando o usuário é desabilitado.

• ID do evento:^{(Event ID: )} 4725 | Tipo:^{(Type: )} Auditoria de Sucesso | Categoria: ^{(Category: )} Gerenciamento de conta de usuário | Descrição:^{(Description: )} Uma conta de usuário foi desativada.

• ID do evento:^{(Event ID: )} 4738 | Tipo:^{(Type: )} Auditoria de Sucesso | Categoria: ^{(Category: )} Gerenciamento de conta de usuário | Descrição:^{(Description: )} Uma conta de usuário foi alterada.

4. Conta de usuário habilitada:^{(User Account Enabled: )} Abaixo estão os IDs de eventos^{(Event IDs)} que são registrados quando o usuário é habilitado.

• ID do evento:^{(Event ID: )} 4722 | Tipo:^{(Type: )} Auditoria de Sucesso | Categoria: ^{(Category: )} Gerenciamento de conta de usuário | Descrição:^{(Description: )} Uma conta de usuário foi habilitada.

• ID do evento:^{(Event ID: )} 4738 | Tipo:^{(Type: )} Auditoria de Sucesso | Categoria: ^{(Category: )} Gerenciamento de conta de usuário | Descrição:^{(Description: )} Uma conta de usuário foi alterada.

5. Redefinição de senha da conta de usuário:^{(User Account Password Reset: )} Abaixo estão os IDs de eventos^{(Event IDs)} que são registrados quando a senha da conta de usuário^{(User Account Password)} é redefinida.

• ID do evento:^{(Event ID: )} 4738 | Tipo:^{(Type: )} Auditoria de Sucesso | Categoria: ^{(Category: )} Gerenciamento de conta de usuário | Descrição:^{(Description: )} Uma conta de usuário foi alterada.

• ID do evento:^{(Event ID: )} 4724 | Tipo:^{(Type: )} Auditoria de Sucesso | Categoria: ^{(Category: )} Gerenciamento de conta de usuário | Descrição:^{(Description: )} Foi feita uma tentativa de redefinir a senha de uma conta.

6. Conjunto de Caminho de Perfil de Conta de Usuário: ^{(User Account Profile Path Set: )}Abaixo^(Below) está a ID de evento^{(Event ID)} que é registrada quando o Caminho de Perfil^{(Profile Path)} é definido para uma conta de usuário.

• ID do evento:^{(Event ID: )} 4738 | Tipo:^{(Type: )} Auditoria de Sucesso | Categoria: ^{(Category: )} Gerenciamento de conta de usuário | Descrição:^{(Description: )} Uma conta de usuário foi alterada.

7. Renomeação de conta de usuário:^{(User Account Rename: )} Abaixo estão os IDs de eventos^{(Event IDs)} que são registrados quando a conta de usuário^{(User Account)} é renomeada.

•  ID do evento:^{(Event ID: )} 4781 | Tipo:^{(Type: )} Auditoria de Sucesso | Categoria: ^{(Category: )} Gerenciamento de conta de usuário | Descrição:^{(Description: )} O nome de uma conta foi alterado.

• ID do evento:^{(Event ID: )} 4738 | Type: Auditoria de Sucesso | Categoria: ^{(Category: )} Gerenciamento de conta de usuário | Descrição:^{(Description: )} uma conta de usuário foi alterada.

8. Criar Grupo Local:^{(Create Local Group: )} Abaixo estão os IDs de Evento^{(Event IDs)} que são registrados quando o Grupo Local^{(Local Group)} é criado.

• ID do evento:^{(Event ID: )} 4731 | Tipo:^{(Type: )} Auditoria de Sucesso | Categoria: ^{(Category: )} Gerenciamento de Grupo de Segurança | Descrição:^{(Description: )} um grupo local habilitado para segurança foi criado

• ID do evento:^{(Event ID: )} 4735 | Tipo:^{(Type: )} Auditoria de Sucesso | Categoria: ^{(Category: )} Gerenciamento de Grupo de Segurança | Descrição:^{(Description: )} um grupo local habilitado para segurança foi alterado

9. Adicionar usuário ao grupo local: ^{(Add User to Local Group: )}Abaixo^(Below) está o ID do evento^{(Event ID)} que é registrado quando o usuário é adicionado ao grupo local .

• ID do evento:^{(Event ID: )} 4732 | Tipo:^{(Type: )} Auditoria de Sucesso | Categoria: ^{(Category: )} Gerenciamento de Grupo de Segurança | Descrição:^{(Description: )} um membro foi adicionado a um grupo local habilitado para segurança

10. Remover usuário do grupo local: ^{(Remove User from Local Group: )}Abaixo^(Below) está o  ID do evento^{(Event ID)} que é registrado quando o usuário é removido do grupo local .

• ID do evento:^{(Event ID: )} 4733 | Tipo:^(Type:) Auditoria de Sucesso | Categoria:^(Category:)  Gerenciamento de Grupo de Segurança | Descrição:^{(Description:)} um membro foi removido de um grupo local habilitado para segurança

11. Excluir Grupo Local: ^{(Delete Local Group: )}Abaixo^(Below) está o ID do Evento^{(Event ID)} que é registrado quando o Grupo Local^{(Local Group)} é excluído.

• ID do evento:^{(Event ID: )} 4734 | Tipo:^{(Type: )} Auditoria de Sucesso | Categoria: ^{(Category: )} Gerenciamento de Grupo de Segurança | Descrição:^{(Description: )} um grupo local habilitado para segurança foi excluído

12. Renomear Grupo Local:^{(Rename Local Group: )} Abaixo estão os IDs de eventos^{(Event IDs)} que são registrados quando o Grupo Local^{(Local Group)} é renomeado.

• ID do evento:^{(Event ID: )} 4781 | Tipo:^{(Type: )} Auditoria de Sucesso | Categoria: ^{(Category: )} Gerenciamento de conta de usuário | Descrição:^{(Description: )} o nome de uma conta foi alterado

• ID do evento:^{(Event ID: )} 4735 | Tipo:^{(Type: )} Auditoria de Sucesso | Categoria: ^{(Category: )} Gerenciamento de Grupo de Segurança | Descrição:^{(Description: )} um grupo local habilitado para segurança foi alterado

Dessa forma, você pode rastrear os usuários com suas atividades. Este artigo é aplicável ao Windows 11/10/8.1 no modo de grupo^{(Workgroup Mode)} de trabalho . Para Active Directory Domain , o procedimento será diferente.

How to track User Activity in WorkGroup Mode on Windows 11/10

Multi-user funсtionality in Windows has enabled us to use it conveniently in public places like schools, colleges, offices, etc. At these places, there is generally an administrator, who manages to keep an eye on the activities of users working therein. Sometimes, users go beyond their limits and modify accounts configured in Workgroup mode. This can have security repercussions, and thus we should configure Windows to track down user activities.

By configuring Windows for monitoring user activities, we can increase the security of the administration and can also punish the victim users by observing their records in case of an offense. In this article, we’ll tell you the way to track user activities in Windows 11/10/8.1/8/7 using Audit Policy. Here is how:

Track User Activity using Audit Policy in WorkGroup Mode

1. Press Windows Key + R combination, type put secpol.msc in Run dialog box and hit Enter to open the Local Security Policy.

2. In the Local Security Policy window, expand Security Settings > Local Policies > Audit Policy. Now you should get your window resembled with this one:

3. In the right pane, you can see 9 Audit…[] policies have No auditing as pre-defined security setting. Click one by one all the policies and make the selection to Success and Failure, click Apply followed by OK for each policy.

In this way, we will have configured Windows to track down user activity.

Follow these steps to get the traced records:

Trace User Activity Using Event Viewer

1. Press Windows Key + R combination, type put eventvwr in Run dialog box and hit Enter to open the Event Viewer.

2. Now, in the Event Viewer window, from the left pane, select Windows Logs > Security. Here Windows keeps a record of every event concerning security.

3. From the center pane, click any event to get its info:

Now, here is the list of the event IDs which covers the user activities for the accounts in the workgroup mode:

1. Create User: Below are the Event IDs that get logged when the user is created.

• Event ID: 4728 | Type: Audit Success | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4720 | Type: Audit Success | Category: User Account Management | Description: A User account was created.

• Event ID: 4722 | Type: Audit Success | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group.

2. Delete User: Below are the Event IDs that get logged when the user is deleted.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group.

• Event ID: 4729 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4726 | Type: Success Audit | Category: User Account Management | Description: A User account was deleted.

3. User Account Disabled: Below are the Event IDs that get logged when the user is disabled.

• Event ID: 4725 | Type: Success Audit | Category: User Account Management | Description: A User account was disabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

4. User Account Enabled: Below are the Event IDs that get logged when the user is enabled.

• Event ID: 4722 | Type: Success Audit | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

5. User Account Password Reset: Below are the Event IDs that get logged when the User Account Password gets reset.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4724 | Type: Success Audit | Category: User Account Management | Description: An attempt was made to reset an account’s password.

6. User Account Profile Path Set: Below is the Event ID that gets logged when Profile Path gets set for a user account.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

7. User Account Rename: Below are the Event IDs that get logged when the User Account is renamed.

•  Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: The name of an account was changed.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User Account was changed.

8. Create Local Group: Below are the Event IDs that get logged when the Local Group is created.

• Event ID: 4731 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was created

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

9. Add User to Local Group: Below is the Event ID that gets logged when the user gets added to the Local group.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group

10. Remove User from Local Group: Below is the Event ID that gets logged when the user is removed from the Local group.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group

11. Delete Local Group: Below is the Event ID that gets logged when the Local Group is deleted.

• Event ID: 4734 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was deleted

12. Rename Local Group: Below are the Event IDs that get logged when the Local Group is renamed.

• Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: A name of an account was changed

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

In this way, you can trace users with their activities. This article is applicable for Windows 11/10/8.1 in Workgroup Mode. For Active Directory Domain, the procedure will be different.

Related posts

• Delete Perfis e arquivos antigos do usuário automaticamente em Windows 10

• Como adicionar Group Policy Editor para Windows 10 Home Edition

• Como habilitar ou desativar Win32 Long Paths no Windows 10

• Como desativar Picture Password Sign-In option em Windows 10

• Como especificar Minimum and Maximum PIN length em Windows 10

• Defina um Default User Logon Picture para todos os usuários em Windows 10

• Ativar o Windows 10 Full Start Menu tela usando Group Policy or Registry

• Redirecionar sites de IE para Microsoft Edge usando Group Policy em Windows 10

• Como Impedir que os usuários apagar Diagnostic Data em Windows 10

• Create Local Administrator Account em Windows 10 usando CMD

• Create desktop atalho para Switch User Accounts em Windows 11/10

• Group Policy Registry Location em Windows 10

• Você pode instalar Windows Updates em Safe Mode em Windows 10?

• Desktop Background Group Policy não está se inscrevendo em Windows 10

• Impedir que os usuários mudassem o Date and Time em Windows 10

• O dependency Service or Group não começou em Windows 10

• Group Policy Settings Reference Guide para Windows 10

• Como forçar Group Policy Update em Windows 10

• Como excluir o Administrator Account embutido em Windows 10

• Desativar Delivery Optimization via Group Policy or Registry Editor