La funzionalità multiutente di Windows ci ha consentito di utilizzarlo comodamente in luoghi pubblici come scuole, college, uffici, ecc. In questi luoghi generalmente c'è un amministratore, che riesce a tenere d'occhio le attività degli utenti che vi lavorano. A volte, gli utenti vanno oltre i propri limiti e modificano gli account configurati in modalità Gruppo^(Workgroup) di lavoro . Ciò può avere ripercussioni sulla sicurezza e quindi dovremmo configurare Windows per rintracciare le attività degli utenti.

Configurando Windows per il monitoraggio delle attività degli utenti, possiamo aumentare la sicurezza dell'amministrazione e possiamo anche punire gli utenti vittime osservando i loro record in caso di reato. In questo articolo, ti spiegheremo come tenere traccia delle attività degli utenti in Windows 11/10/8.1/8/7 utilizzando i criteri di controllo. Ecco come:

Tieni traccia dell'attività dell'utente^{(Track User Activity)} utilizzando la politica di controllo in modalità gruppo di lavoro^{(WorkGroup Mode)}

1. Premere la combinazione Windows Key + R , digitare put secpol.msc nella  finestra di dialogo Esegui e ^(Run)premere Invio^(Enter) per aprire la politica di sicurezza locale^{(Local Security Policy)} .

2. Nella finestra Criterio di sicurezza locale , espandere ^{(Local Security Policy)}Impostazioni di sicurezza^{(Security Settings)} > Criteri locali^{(Local Policies)} > Criterio di controllo^{(Audit Policy)} . Ora dovresti far assomigliare la tua finestra a questa:

3. Nel riquadro di destra, puoi vedere 9 criteri di controllo...[] ^(Audit…[])non hanno controllo^{(No auditing)} come impostazione di sicurezza predefinita . ^{(pre-defined)}Fare clic uno^{(Click one)} per uno su tutte le politiche e selezionare Success e Failure , fare clic su Applica^{( Apply)} seguito da OK per ciascuna politica.

In questo modo, avremo configurato Windows per rintracciare l'attività dell'utente.

Segui questi passaggi per ottenere i record tracciati:

Traccia l'attività dell'utente utilizzando il Visualizzatore eventi^{(Trace User Activity Using Event Viewer)}

1. Premi la combinazione di  Windows Key + Reventvwr nella  finestra di dialogo Esegui e premi ^(Run)Invio^(Enter) per aprire il Visualizzatore eventi^{(Event Viewer)} .

2. Ora, nella finestra Visualizzatore eventi^{(Event Viewe)} , dal riquadro di sinistra, selezionare Registri di Windows^{(Windows Logs)} > Sicurezza^(Security) . Qui Windows tiene un registro di ogni evento relativo alla sicurezza.

3. Dal riquadro centrale, fare clic su qualsiasi evento per ottenerne le informazioni:

Ora, ecco l'elenco degli ID^(IDs) evento che copre le attività degli utenti per gli account nella modalità gruppo di lavoro:

1. Crea utente: di^{(Create User:)} seguito sono riportati gli ID evento^{(Event IDs)} che vengono registrati quando l'utente viene creato.

• ID evento:^{(Event ID: )} 4728 | Tipo:^{(Type: )} Verifica riuscita | Categoria:^{(Category: )} Gestione dei gruppi di sicurezza | Descrizione:^{(Description: )} un membro è stato aggiunto a un gruppo globale abilitato alla sicurezza.

• ID evento:^{(Event ID: )} 4720 | Tipo:^{(Type: )} Verifica riuscita | Categoria:^{(Category: )} Gestione account utente | Descrizione:^{(Description: )} è stato creato un account utente.

• ID evento:^{(Event ID: )} 4722 | Tipo:^{(Type: )} Verifica riuscita | Categoria:^{(Category: )} Gestione account utente | Descrizione:^{(Description: )} è stato abilitato un account utente.

• ID evento:^{(Event ID: )} 4738 | Tipo:^{(Type: )} Verifica di successo | Categoria:^{(Category: )} Gestione account utente | Descrizione:^{(Description: )} un account utente è stato modificato.

• ID evento:^{(Event ID: )} 4732 | Tipo:^{(Type: )} Verifica di successo | Categoria: ^{(Category: )} Gestione dei gruppi di sicurezza | Descrizione:^{(Description: )} un membro è stato aggiunto a un gruppo locale abilitato alla sicurezza.

2. Elimina utente: di^{(Delete User: )} seguito sono riportati gli ID evento^{(Event IDs)} che vengono registrati quando l'utente viene eliminato.

• ID evento:^{(Event ID: )} 4733 | Tipo:^{(Type: )} Verifica di successo | Categoria: ^{(Category: )} Gestione dei gruppi di sicurezza | Descrizione:^{(Description: )} un membro è stato rimosso da un gruppo locale abilitato alla sicurezza.

• ID evento:^{(Event ID: )} 4729 | Tipo:^{(Type: )} Verifica di successo | Categoria: ^{(Category: )} Gestione dei gruppi di sicurezza | Descrizione:^{(Description: )} un membro è stato aggiunto a un gruppo globale abilitato alla sicurezza.

• ID evento:^{(Event ID: )} 4726 | Tipo:^{( Type: )} Verifica di successo | Categoria: ^{(Category: )} Gestione account utente | Descrizione:^{(Description: )} un account utente è stato eliminato.

3. Account utente disabilitato:^{(User Account Disabled: )} di seguito sono riportati gli ID evento^{(Event IDs)} che vengono registrati quando l'utente è disabilitato.

• ID evento:^{(Event ID: )} 4725 | Tipo:^{(Type: )} Verifica di successo | Categoria: ^{(Category: )} Gestione account utente | Descrizione:^{(Description: )} un account utente è stato disabilitato.

• ID evento:^{(Event ID: )} 4738 | Tipo:^{(Type: )} Verifica di successo | Categoria: ^{(Category: )} Gestione account utente | Descrizione:^{(Description: )} un account utente è stato modificato.

4. Account utente abilitato:^{(User Account Enabled: )} di seguito sono riportati gli ID evento^{(Event IDs)} che vengono registrati quando l'utente è abilitato.

• ID evento:^{(Event ID: )} 4722 | Tipo:^{(Type: )} Verifica di successo | Categoria: ^{(Category: )} Gestione account utente | Descrizione:^{(Description: )} è stato abilitato un account utente.

• ID evento:^{(Event ID: )} 4738 | Tipo:^{(Type: )} Verifica di successo | Categoria: ^{(Category: )} Gestione account utente | Descrizione:^{(Description: )} un account utente è stato modificato.

5. Reimpostazione della password dell'account utente:^{(User Account Password Reset: )} di seguito sono riportati gli ID evento^{(Event IDs)} che vengono registrati quando viene reimpostata la password dell'account utente .^{(User Account Password)}

• ID evento:^{(Event ID: )} 4738 | Tipo:^{(Type: )} Verifica di successo | Categoria: ^{(Category: )} Gestione account utente | Descrizione:^{(Description: )} un account utente è stato modificato.

• ID evento:^{(Event ID: )} 4724 | Tipo:^{(Type: )} Verifica di successo | Categoria: ^{(Category: )} Gestione account utente | Descrizione:^{(Description: )} Tentativo di reimpostare la password di un account.

6. Set di percorsi del profilo dell'account utente: ^{(User Account Profile Path Set: )}Di seguito^(Below) è riportato l' ID evento^{(Event ID)} che viene registrato quando viene impostato il percorso del profilo per un account utente.^{(Profile Path)}

• ID evento:^{(Event ID: )} 4738 | Tipo:^{(Type: )} Verifica di successo | Categoria: ^{(Category: )} Gestione account utente | Descrizione:^{(Description: )} un account utente è stato modificato.

7. Rinomina account utente:^{(User Account Rename: )} di seguito sono riportati gli ID evento^{(Event IDs)} che vengono registrati quando l' account utente^{(User Account)} viene rinominato.

•  ID evento:^{(Event ID: )} 4781 | Tipo:^{(Type: )} Verifica di successo | Categoria: ^{(Category: )} Gestione account utente | Descrizione:^{(Description: )} il nome di un account è stato modificato.

• ID evento:^{(Event ID: )} 4738 | Type: Verifica di successo | Categoria: ^{(Category: )} Gestione account utente | Descrizione:^{(Description: )} un account utente è stato modificato.

8. Crea gruppo locale:^{(Create Local Group: )} di seguito sono riportati gli ID evento^{(Event IDs)} che vengono registrati quando viene creato il gruppo locale .^{(Local Group)}

• ID evento:^{(Event ID: )} 4731 | Tipo:^{(Type: )} Verifica di successo | Categoria: ^{(Category: )} Gestione dei gruppi di sicurezza | Descrizione:^{(Description: )} è stato creato un gruppo locale abilitato per la sicurezza

• ID evento:^{(Event ID: )} 4735 | Tipo:^{(Type: )} Verifica di successo | Categoria: ^{(Category: )} Gestione dei gruppi di sicurezza | Descrizione:^{(Description: )} un gruppo locale abilitato per la sicurezza è stato modificato

9. Aggiungi utente al gruppo locale: ^{(Add User to Local Group: )}Di seguito^(Below) è riportato l' ID evento^{(Event ID)} che viene registrato quando l'utente viene aggiunto al gruppo locale^(Local) .

• ID evento:^{(Event ID: )} 4732 | Tipo:^{(Type: )} Verifica di successo | Categoria: ^{(Category: )} Gestione dei gruppi di sicurezza | Descrizione:^{(Description: )} un membro è stato aggiunto a un gruppo locale abilitato alla sicurezza

10. Rimuovi utente dal gruppo locale: ^{(Remove User from Local Group: )}Di seguito^(Below) è riportato l'  ID evento^{(Event ID)} che viene registrato quando l'utente viene rimosso dal gruppo locale^(Local) .

• ID evento:^{(Event ID: )} 4733 | Tipo:^(Type:) Verifica di successo | Categoria:^(Category:)  Gestione dei gruppi di sicurezza | Descrizione:^{(Description:)} un membro è stato rimosso da un gruppo locale abilitato alla sicurezza

11. Elimina gruppo locale: ^{(Delete Local Group: )}Di seguito^(Below) è riportato l' ID evento^{(Event ID)} che viene registrato quando il gruppo locale^{(Local Group)} viene eliminato.

• ID evento:^{(Event ID: )} 4734 | Tipo:^{(Type: )} Verifica di successo | Categoria: ^{(Category: )} Gestione dei gruppi di sicurezza | Descrizione:^{(Description: )} un gruppo locale abilitato alla sicurezza è stato eliminato

12. Rinomina gruppo locale:^{(Rename Local Group: )} di seguito sono riportati gli ID evento^{(Event IDs)} che vengono registrati quando il gruppo locale^{(Local Group)} viene rinominato.

• ID evento:^{(Event ID: )} 4781 | Tipo:^{(Type: )} Verifica di successo | Categoria: ^{(Category: )} Gestione account utente | Descrizione:^{(Description: )} il nome di un account è stato modificato

• ID evento:^{(Event ID: )} 4735 | Tipo:^{(Type: )} Verifica di successo | Categoria: ^{(Category: )} Gestione dei gruppi di sicurezza | Descrizione:^{(Description: )} un gruppo locale abilitato per la sicurezza è stato modificato

In questo modo puoi tracciare gli utenti con le loro attività. Questo articolo è applicabile per Windows 11/10/8.1 in modalità gruppo di lavoro^{(Workgroup Mode)} . Per il dominio Active Directory^{(Directory Domain)} , la procedura sarà diversa.

How to track User Activity in WorkGroup Mode on Windows 11/10

Multi-user functionality in Windows has enabled us to use it conveniently in public places like schools, colleges, offices, etc. At these places, there is generally an administrator, who manages to keep an eye on the activities of users working therein. Sometimes, users go beyond their limits and modify accounts configured in Workgroup mode. This can have security repercussions, and thus we should configure Windows to track down user activities.

By configuring Windows for monitoring user activities, we can increase the security of the administration and can also punish the victim users by observing their records in case of an offense. In this article, we’ll tell you the way to track user activities in Windows 11/10/8.1/8/7 using Audit Policy. Here is how:

Track User Activity using Audit Policy in WorkGroup Mode

1. Press Windows Key + R combination, type put secpol.msc in Run dialog box and hit Enter to open the Local Security Policy.

2. In the Local Security Policy window, expand Security Settings > Local Policies > Audit Policy. Now you should get your window resembled with this one:

3. In the right pane, you can see 9 Audit…[] policies have No auditing as pre-defined security setting. Click one by one all the policies and make the selection to Success and Failure, click Apply followed by OK for each policy.

In this way, we will have configured Windows to track down user activity.

Follow these steps to get the traced records:

Trace User Activity Using Event Viewer

1. Press Windows Key + R combination, type put eventvwr in Run dialog box and hit Enter to open the Event Viewer.

2. Now, in the Event Viewer window, from the left pane, select Windows Logs > Security. Here Windows keeps a record of every event concerning security.

3. From the center pane, click any event to get its info:

Now, here is the list of the event IDs which covers the user activities for the accounts in the workgroup mode:

1. Create User: Below are the Event IDs that get logged when the user is created.

• Event ID: 4728 | Type: Audit Success | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4720 | Type: Audit Success | Category: User Account Management | Description: A User account was created.

• Event ID: 4722 | Type: Audit Success | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group.

2. Delete User: Below are the Event IDs that get logged when the user is deleted.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group.

• Event ID: 4729 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4726 | Type: Success Audit | Category: User Account Management | Description: A User account was deleted.

3. User Account Disabled: Below are the Event IDs that get logged when the user is disabled.

• Event ID: 4725 | Type: Success Audit | Category: User Account Management | Description: A User account was disabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

4. User Account Enabled: Below are the Event IDs that get logged when the user is enabled.

• Event ID: 4722 | Type: Success Audit | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

5. User Account Password Reset: Below are the Event IDs that get logged when the User Account Password gets reset.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4724 | Type: Success Audit | Category: User Account Management | Description: An attempt was made to reset an account’s password.

6. User Account Profile Path Set: Below is the Event ID that gets logged when Profile Path gets set for a user account.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

7. User Account Rename: Below are the Event IDs that get logged when the User Account is renamed.

•  Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: The name of an account was changed.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User Account was changed.

8. Create Local Group: Below are the Event IDs that get logged when the Local Group is created.

• Event ID: 4731 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was created

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

9. Add User to Local Group: Below is the Event ID that gets logged when the user gets added to the Local group.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group

10. Remove User from Local Group: Below is the Event ID that gets logged when the user is removed from the Local group.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group

11. Delete Local Group: Below is the Event ID that gets logged when the Local Group is deleted.

• Event ID: 4734 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was deleted

12. Rename Local Group: Below are the Event IDs that get logged when the Local Group is renamed.

• Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: A name of an account was changed

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

In this way, you can trace users with their activities. This article is applicable for Windows 11/10/8.1 in Workgroup Mode. For Active Directory Domain, the procedure will be different.

Related posts

• Delete Vecchi profili utente e file automaticamente in Windows 10

• Come aggiungere Group Policy Editor a Windows 10 Home Edition

• Come abilitare o disabilitare Win32 Long Paths su Windows 10

• Come disabilitare Picture Password Sign-In option in Windows 10

• Come specificare Minimum and Maximum PIN length in Windows 10

• Lo dependency Service or Group non è stato avviato in Windows 10

• Come impedire agli utenti di eliminare Diagnostic Data in Windows 10

• Come Import or Export Group Policy settings in Windows 10

• Attiva o Disattiva Fast Logon Optimization in Windows 10

• Create desktop Collegamento a Switch User Accounts in Windows 11/10

• Desktop Background Group Policy non sta applicando in Windows 10

• Limit Reservable Bandwidth Setting in Windows 10

• Come creare Local User Account usando PowerShell in Windows 10

• Come bloccare tutte le impostazioni Taskbar in Windows 10

• Come abilitare NVIDIA Low Latency Mode su Windows 10

• Come applicare Group Policy a Non-Administrators solo in Windows 10

• Imposta un Default User Logon Picture per tutti gli utenti di Windows 10

• Customize Ctrl+Alt+Del Screen Usando Group Policy or Registry in Windows

• Puoi installare Windows Updates in Safe Mode in Windows 10?

• Come spegnere o su Airplane Mode in Windows 10