Die Mehrbenutzerfunktionalität von Windows hat es uns ermöglicht, es bequem an öffentlichen Orten wie Schulen, Hochschulen, Büros usw. zu verwenden. An diesen Orten gibt es in der Regel einen Administrator, der es schafft, die Aktivitäten der dort arbeitenden Benutzer im Auge zu behalten. Manchmal gehen Benutzer über ihre Grenzen hinaus und ändern im Arbeitsgruppenmodus^(Workgroup) konfigurierte Konten . Dies kann Auswirkungen auf die Sicherheit haben, und daher sollten wir Windows so konfigurieren, dass Benutzeraktivitäten nachverfolgt werden.

Indem wir Windows^(Windows) für die Überwachung von Benutzeraktivitäten konfigurieren , können wir die Sicherheit der Verwaltung erhöhen und die Opferbenutzer bestrafen, indem wir im Falle eines Verstoßes ihre Aufzeichnungen beobachten. In diesem Artikel erklären wir Ihnen, wie Sie Benutzeraktivitäten in Windows 11/10/8.1/8/7 mithilfe der Überwachungsrichtlinie verfolgen können. Hier ist, wie:

Verfolgen Sie die Benutzeraktivität^{(Track User Activity)} mithilfe der Überwachungsrichtlinie im WorkGroup-Modus^{(WorkGroup Mode)}

1. Drücken Sie die Kombination Windows Key + R , geben Sie put secpol.msc in das  Dialogfeld Ausführen ein und drücken Sie die ^(Run)Eingabetaste^(Enter) , um die lokale Sicherheitsrichtlinie^{(Local Security Policy)} zu öffnen .

2. Erweitern Sie im Fenster Lokale Sicherheitsrichtlinie ^{(Local Security Policy)}Sicherheitseinstellungen^{(Security Settings)} > Lokale Richtlinien^{(Local Policies)} > Überwachungsrichtlinie^{(Audit Policy)} . Jetzt sollte Ihr Fenster diesem ähnlich sehen:

3. Im rechten Bereich sehen Sie 9 Audit…[] -Richtlinien haben No auditing als vordefinierte^{(pre-defined)} Sicherheitseinstellung. Klicken Sie nacheinander^{(Click one)} auf alle Richtlinien und treffen Sie die Auswahl auf Erfolg^(Success) und Fehler^(Failure) , klicken Sie für jede Richtlinie auf Anwenden^{( Apply)} und dann auf OK .

Auf diese Weise haben wir Windows so konfiguriert, dass es die Benutzeraktivität aufspürt.

Befolgen Sie diese Schritte, um die nachverfolgten Datensätze abzurufen:

Verfolgen Sie die Benutzeraktivität mithilfe der Ereignisanzeige^{(Trace User Activity Using Event Viewer)}

1. Drücken Sie die Kombination Windows Key + R , geben Sie put  eventvwr in das  Dialogfeld Ausführen ein und drücken Sie die ^(Run)Eingabetaste^(Enter) , um die Ereignisanzeige^{(Event Viewer)} zu öffnen .

2. Wählen Sie nun im Fenster Ereignisanzeige im linken Bereich ^{(Event Viewe)}Windows-Protokolle^{(Windows Logs)} > Sicherheit^(Security) aus . Hier protokolliert Windows alle sicherheitsrelevanten Ereignisse.

3. Klicken Sie im mittleren Bereich auf ein beliebiges Ereignis, um seine Informationen abzurufen:

Hier ist nun die Liste der Ereignis -IDs , die die Benutzeraktivitäten für die Konten im Arbeitsgruppenmodus abdeckt:

1. Benutzer erstellen:^{(Create User:)} Unten sind die Ereignis-IDs aufgeführt^{(Event IDs)} , die protokolliert werden, wenn der Benutzer erstellt wird.

• Ereignis-ID:^{(Event ID: )} 4728 | Typ:^{(Type: )} Prüfungserfolg | Kategorie:^{(Category: )} Sicherheitsgruppenverwaltung | Beschreibung:^{(Description: )} Ein Mitglied wurde einer sicherheitsaktivierten globalen Gruppe hinzugefügt.

• Ereignis-ID:^{(Event ID: )} 4720 | Typ:^{(Type: )} Prüfungserfolg | Kategorie:^{(Category: )} Benutzerkontenverwaltung | Beschreibung:^{(Description: )} Ein Benutzerkonto wurde erstellt.

• Ereignis-ID:^{(Event ID: )} 4722 | Typ:^{(Type: )} Prüfungserfolg | Kategorie:^{(Category: )} Benutzerkontenverwaltung | Beschreibung:^{(Description: )} Ein Benutzerkonto wurde aktiviert.

• Ereignis-ID:^{(Event ID: )} 4738 | Typ:^{(Type: )} Erfolgsprüfung | Kategorie:^{(Category: )} Benutzerkontenverwaltung | Beschreibung:^{(Description: )} Ein Benutzerkonto wurde geändert.

• Ereignis-ID:^{(Event ID: )} 4732 | Typ:^{(Type: )} Erfolgsprüfung | Kategorie: ^{(Category: )} Sicherheitsgruppenverwaltung | Beschreibung:^{(Description: )} Ein Mitglied wurde einer sicherheitsaktivierten lokalen Gruppe hinzugefügt.

2. Benutzer löschen :^{(Delete User: )} Nachfolgend sind die Ereignis-IDs aufgeführt^{(Event IDs)} , die protokolliert werden, wenn der Benutzer gelöscht wird.

• Ereignis-ID:^{(Event ID: )} 4733 | Typ:^{(Type: )} Erfolgsprüfung | Kategorie: ^{(Category: )} Sicherheitsgruppenverwaltung | Beschreibung:^{(Description: )} Ein Mitglied wurde aus einer sicherheitsaktivierten lokalen Gruppe entfernt.

• Ereignis-ID:^{(Event ID: )} 4729 | Typ:^{(Type: )} Erfolgsprüfung | Kategorie: ^{(Category: )} Sicherheitsgruppenverwaltung | Beschreibung:^{(Description: )} Ein Mitglied wurde einer sicherheitsaktivierten globalen Gruppe hinzugefügt.

• Ereignis-ID:^{(Event ID: )} 4726 | Typ:^{( Type: )} Erfolgsprüfung | Kategorie: ^{(Category: )} Benutzerkontenverwaltung | Beschreibung:^{(Description: )} Ein Benutzerkonto wurde gelöscht.

3. Benutzerkonto deaktiviert:^{(User Account Disabled: )} Nachfolgend sind die Ereignis-IDs aufgeführt^{(Event IDs)} , die protokolliert werden, wenn der Benutzer deaktiviert ist.

• Ereignis-ID:^{(Event ID: )} 4725 | Typ:^{(Type: )} Erfolgsprüfung | Kategorie: ^{(Category: )} Benutzerkontenverwaltung | Beschreibung:^{(Description: )} Ein Benutzerkonto wurde deaktiviert.

• Ereignis-ID:^{(Event ID: )} 4738 | Typ:^{(Type: )} Erfolgsprüfung | Kategorie: ^{(Category: )} Benutzerkontenverwaltung | Beschreibung:^{(Description: )} Ein Benutzerkonto wurde geändert.

4. Benutzerkonto aktiviert:^{(User Account Enabled: )} Unten sind die Ereignis-IDs aufgeführt^{(Event IDs)} , die protokolliert werden, wenn der Benutzer aktiviert ist.

• Ereignis-ID:^{(Event ID: )} 4722 | Typ:^{(Type: )} Erfolgsprüfung | Kategorie: ^{(Category: )} Benutzerkontenverwaltung | Beschreibung:^{(Description: )} Ein Benutzerkonto wurde aktiviert.

• Ereignis-ID:^{(Event ID: )} 4738 | Typ:^{(Type: )} Erfolgsprüfung | Kategorie: ^{(Category: )} Benutzerkontenverwaltung | Beschreibung:^{(Description: )} Ein Benutzerkonto wurde geändert.

5. Zurücksetzen des Benutzerkonto-Passworts:^{(User Account Password Reset: )} Unten sind die Ereignis-IDs aufgeführt^{(Event IDs)} , die protokolliert werden, wenn das Benutzerkonto-Passwort^{(User Account Password)} zurückgesetzt wird.

• Ereignis-ID:^{(Event ID: )} 4738 | Typ:^{(Type: )} Erfolgsprüfung | Kategorie: ^{(Category: )} Benutzerkontenverwaltung | Beschreibung:^{(Description: )} Ein Benutzerkonto wurde geändert.

• Ereignis-ID:^{(Event ID: )} 4724 | Typ:^{(Type: )} Erfolgsprüfung | Kategorie: ^{(Category: )} Benutzerkontenverwaltung | Beschreibung:^{(Description: )} Es wurde versucht, das Kennwort eines Kontos zurückzusetzen.

6. Profilpfad für Benutzerkonto festgelegt: ^{(User Account Profile Path Set: )}Unten^(Below) ist die Ereignis-ID^{(Event ID)} aufgeführt, die protokolliert wird, wenn der Profilpfad^{(Profile Path)} für ein Benutzerkonto festgelegt wird.

• Ereignis-ID:^{(Event ID: )} 4738 | Typ:^{(Type: )} Erfolgsprüfung | Kategorie: ^{(Category: )} Benutzerkontenverwaltung | Beschreibung:^{(Description: )} Ein Benutzerkonto wurde geändert.

7. Umbenennung des Benutzerkontos:^{(User Account Rename: )} Nachfolgend sind die Ereignis-IDs aufgeführt^{(Event IDs)} , die protokolliert werden, wenn das Benutzerkonto^{(User Account)} umbenannt wird.

•  Ereignis-ID:^{(Event ID: )} 4781 | Typ:^{(Type: )} Erfolgsprüfung | Kategorie: ^{(Category: )} Benutzerkontenverwaltung | Beschreibung:^{(Description: )} Der Name eines Kontos wurde geändert.

• Ereignis-ID:^{(Event ID: )} 4738 | Type: Erfolgsprüfung | Kategorie: ^{(Category: )} Benutzerkontenverwaltung | Beschreibung:^{(Description: )} Ein Benutzerkonto wurde geändert.

8. Lokale Gruppe erstellen:^{(Create Local Group: )} Unten sind die Ereignis-IDs aufgeführt^{(Event IDs)} , die protokolliert werden, wenn die lokale Gruppe^{(Local Group)} erstellt wird.

• Ereignis-ID:^{(Event ID: )} 4731 | Typ:^{(Type: )} Erfolgsprüfung | Kategorie: ^{(Category: )} Sicherheitsgruppenverwaltung | Beschreibung:^{(Description: )} Eine sicherheitsaktivierte lokale Gruppe wurde erstellt

• Ereignis-ID:^{(Event ID: )} 4735 | Typ:^{(Type: )} Erfolgsprüfung | Kategorie: ^{(Category: )} Sicherheitsgruppenverwaltung | Beschreibung:^{(Description: )} Eine sicherheitsaktivierte lokale Gruppe wurde geändert

9. Benutzer zur lokalen Gruppe hinzufügen: ^{(Add User to Local Group: )}Unten^(Below) ist die Ereignis-ID^{(Event ID)} , die protokolliert wird, wenn der Benutzer zur lokalen^(Local) Gruppe hinzugefügt wird.

• Ereignis-ID:^{(Event ID: )} 4732 | Typ:^{(Type: )} Erfolgsprüfung | Kategorie: ^{(Category: )} Sicherheitsgruppenverwaltung | Beschreibung:^{(Description: )} Ein Mitglied wurde einer sicherheitsaktivierten lokalen Gruppe hinzugefügt

10. Benutzer aus der lokalen Gruppe entfernen: ^{(Remove User from Local Group: )}Unten^(Below) ist die  Ereignis-ID^{(Event ID)} , die protokolliert wird, wenn der Benutzer aus der lokalen^(Local) Gruppe entfernt wird.

• Ereignis-ID:^{(Event ID: )} 4733 | Typ:^(Type:) Erfolgsprüfung | Kategorie:^(Category:)  Sicherheitsgruppenverwaltung | Beschreibung:^{(Description:)} Ein Mitglied wurde aus einer sicherheitsaktivierten lokalen Gruppe entfernt

11. Lokale Gruppe löschen: ^{(Delete Local Group: )}Unten^(Below) ist die Ereignis-ID^{(Event ID)} , die protokolliert wird, wenn die lokale Gruppe^{(Local Group)} gelöscht wird.

• Ereignis-ID:^{(Event ID: )} 4734 | Typ:^{(Type: )} Erfolgsprüfung | Kategorie: ^{(Category: )} Sicherheitsgruppenverwaltung | Beschreibung:^{(Description: )} Eine sicherheitsaktivierte lokale Gruppe wurde gelöscht

12. Lokale Gruppe umbenennen:^{(Rename Local Group: )} Unten sind die Ereignis-IDs aufgeführt^{(Event IDs)} , die protokolliert werden, wenn die lokale Gruppe^{(Local Group)} umbenannt wird.

• Ereignis-ID:^{(Event ID: )} 4781 | Typ:^{(Type: )} Erfolgsprüfung | Kategorie: ^{(Category: )} Benutzerkontenverwaltung | Beschreibung:^{(Description: )} Der Name eines Kontos wurde geändert

• Ereignis-ID:^{(Event ID: )} 4735 | Typ:^{(Type: )} Erfolgsprüfung | Kategorie: ^{(Category: )} Sicherheitsgruppenverwaltung | Beschreibung:^{(Description: )} Eine sicherheitsaktivierte lokale Gruppe wurde geändert

Auf diese Weise können Sie Benutzer mit ihren Aktivitäten nachverfolgen. Dieser Artikel gilt für Windows 11/10/8.1 im Arbeitsgruppenmodus^{(Workgroup Mode)} . Für die Active Directory-Domäne^{(Directory Domain)} ist das Verfahren anders.

How to track User Activity in WorkGroup Mode on Windows 11/10

Multi-user functionality in Windows has enabled us to use it conveniently in public places like schools, colleges, offices, etc. At these places, there is generally an administrator, who manages to keep an eye on the activities of users working therein. Sometimes, users go beyond their limits and modify accounts configured in Workgroup mode. This can have security repercussions, and thus we should configure Windows to track down user activities.

By configuring Windows for monitoring user activities, we can increase the security of the administration and can also punish the victim users by observing their records in case of an offense. In this article, we’ll tell you the way to track user activities in Windows 11/10/8.1/8/7 using Audit Policy. Here is how:

Track User Activity using Audit Policy in WorkGroup Mode

1. Press Windows Key + R combination, type put secpol.msc in Run dialog box and hit Enter to open the Local Security Policy.

2. In the Local Security Policy window, expand Security Settings > Local Policies > Audit Policy. Now you should get your window resembled with this one:

3. In the right pane, you can see 9 Audit…[] policies have No auditing as pre-defined security setting. Click one by one all the policies and make the selection to Success and Failure, click Apply followed by OK for each policy.

In this way, we will have configured Windows to track down user activity.

Follow these steps to get the traced records:

Trace User Activity Using Event Viewer

1. Press Windows Key + R combination, type put eventvwr in Run dialog box and hit Enter to open the Event Viewer.

2. Now, in the Event Viewer window, from the left pane, select Windows Logs > Security. Here Windows keeps a record of every event concerning security.

3. From the center pane, click any event to get its info:

Now, here is the list of the event IDs which covers the user activities for the accounts in the workgroup mode:

1. Create User: Below are the Event IDs that get logged when the user is created.

• Event ID: 4728 | Type: Audit Success | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4720 | Type: Audit Success | Category: User Account Management | Description: A User account was created.

• Event ID: 4722 | Type: Audit Success | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group.

2. Delete User: Below are the Event IDs that get logged when the user is deleted.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group.

• Event ID: 4729 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4726 | Type: Success Audit | Category: User Account Management | Description: A User account was deleted.

3. User Account Disabled: Below are the Event IDs that get logged when the user is disabled.

• Event ID: 4725 | Type: Success Audit | Category: User Account Management | Description: A User account was disabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

4. User Account Enabled: Below are the Event IDs that get logged when the user is enabled.

• Event ID: 4722 | Type: Success Audit | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

5. User Account Password Reset: Below are the Event IDs that get logged when the User Account Password gets reset.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4724 | Type: Success Audit | Category: User Account Management | Description: An attempt was made to reset an account’s password.

6. User Account Profile Path Set: Below is the Event ID that gets logged when Profile Path gets set for a user account.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

7. User Account Rename: Below are the Event IDs that get logged when the User Account is renamed.

•  Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: The name of an account was changed.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User Account was changed.

8. Create Local Group: Below are the Event IDs that get logged when the Local Group is created.

• Event ID: 4731 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was created

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

9. Add User to Local Group: Below is the Event ID that gets logged when the user gets added to the Local group.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group

10. Remove User from Local Group: Below is the Event ID that gets logged when the user is removed from the Local group.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group

11. Delete Local Group: Below is the Event ID that gets logged when the Local Group is deleted.

• Event ID: 4734 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was deleted

12. Rename Local Group: Below are the Event IDs that get logged when the Local Group is renamed.

• Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: A name of an account was changed

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

In this way, you can trace users with their activities. This article is applicable for Windows 11/10/8.1 in Workgroup Mode. For Active Directory Domain, the procedure will be different.

Related posts

• Alte Benutzerprofile und Dateien automatisch in Windows 11/10 löschen

• So fügen Sie den Gruppenrichtlinien-Editor zu Windows 11/10 Home Edition hinzu

• So aktivieren oder deaktivieren Sie lange Win32-Pfade unter Windows 11/10

• So deaktivieren Sie die Bildpasswort-Anmeldeoption in Windows 11/10

• So geben Sie die minimale und maximale PIN-Länge in Windows 11/10 an

• Cache-Laufwerk für die Übermittlungsoptimierung für Windows-Updates ändern

• So schalten Sie den Flugmodus in Windows 11/10 aus oder ein

• Gruppenrichtlinieneinstellungen fehlen in Windows 11/10

• So installieren Sie den Gruppenrichtlinien-Editor (gpedit.msc)

• So aktivieren oder deaktivieren Sie die schnelle Anmeldeoptimierung in Windows 11/10

• Verhindern Sie, dass Benutzer das Datum und die Uhrzeit in Windows 11/10 ändern

• Sichern/Wiederherstellen oder Importieren/Exportieren von Gruppenrichtlinieneinstellungen in Windows 11/10

• Greifen Sie auf die lokale Benutzer- und Gruppenverwaltung in Windows 11/10 Home zu

• Standard-Firewallrichtlinie in Windows 11/10 importieren, exportieren, reparieren, wiederherstellen

• Erstellen Sie ein lokales Administratorkonto unter Windows 11/10 mit CMD

• So überprüfen Sie die auf einem Windows 10-Computer angewendete Gruppenrichtlinie

• So verfolgen Sie Windows-Computer- und Benutzeraktivitäten

• Fehler beim Öffnen des Editors für lokale Gruppenrichtlinien in Windows 11/10

• Der Gruppenrichtlinien-Clientdienst hat die Anmeldung in Windows 11/10 nicht bestanden

• Reservierbare Bandbreiteneinstellung in Windows 11/10 begrenzen