系统小技巧:跟踪工作组模式下的用户活动
许多学校、办公室或小型组织 , 常采用WorkGroup工作组的方式使用Windows 10 , 通常会有一个管理员负责用户在其中工作的活动管理 。 有时 , 有用户会超出其权限限制 , 修改工作组模式中配置的账户 , 这可能对系统安全造成影响 , 因此需要跟踪用户的活动 , 对工作组和组中用户的变动情况有一个清晰的了解 。 那么 , 如何实现工作组模式下用户活动的跟踪呢?
小提示:本文所讲述的方法同样适用于Windows 8.1系统 。
1. 使用审核策略实现活动跟踪
要实现活动跟踪 , 首先需要启用与此相关的本地安全策略 。 按下Win+R组合键启动“运行”框 , 在“运行”框中输入secpol.msc命令并回车运行 , 启动“本地安全策略”窗口(图1) 。
本文插图
在本地安全策略窗口中 , 从左侧窗格中依次选择“本地策略→审核策略” , 在右侧窗格中会看到9个不同的审核策略 , 这些策略的默认“安全设置”均为“无审核”状态(图2) 。
本文插图
最后 , 一一双击这些策略 , 从“审核策略更改”操作窗口中 , 依次将这9个策略的审核操作选项“成功”和“失败”均选中 , 然后单击“应用”按钮并点击“确定”(图3) 。
本文插图
设置之后的列表显示状态为如图所示(图4) 。
本文插图
通过上述操作之后 , Windows被配置为跟踪用户活动状态 。 接下来就可以跟踪用户活动 , 并获取跟踪记录了 。
2. 用事件查看器跟踪查看用户活动情况
按下Win+R组合键 , 在“运行”对话框中运行eventvwr命令 , 启动事件查看器(图5) 。
本文插图
在事件查看器的左侧窗格中 , 依次选择“Windows日志→安全” , 之后 , 我们在中部窗格的记录中 , 便可以看到Windows开始记录所有与安全有关的事件(图6) 。
本文插图
双击中部窗口中的任意事件 , 在弹出的“事件属性”窗口内 , 可看到事件ID信息(图7) 。 根据事件ID的序号 , 可判断创建组或用户时记录的事件 。 具体情况分用户管理、账户管理、组管理三类情况 , 分述如下:
本文插图
要查看工作组中用户的创建或删除情况 , 可通过相应ID号来判断 。 如果是在工作组中创建了用户 , 就会出现4728、4720、4722、4738、4732等事件ID;若是删除了用户 , 就会出现4733、4729、4726等事件ID 。 具体情况见表1(表1) 。
【系统小技巧:跟踪工作组模式下的用户活动】
本文插图
要查看用户账户的启用、禁用、密码重置、配置文件变动、账户更名等情况 , 只需通过如表2所示的与用户账户相关的几个ID事件 , 即可获知具体情况(表2) 。
本文插图
有关本地组的变动情况 , 如创建本地组、删除本地组、重命名本地组或从本地组删除与添加用户等活动 , 也可以通过如表3所示的一些ID事件的序号查看(表3) 。
推荐阅读
- 中年北斗系统发言人答封面新闻:北斗定位精度最好可达1点几米
- 服装搭配|小个子女生显高显瘦穿搭,只要学会这5个小技巧,温柔优雅有气质
- 上游新闻|精度达到2-3米,北斗系统发言人:中国北斗攻克160余项关键技术
- 央视新闻客户端|北斗系统工程新技术应用超过70%
- 问董秘|提供设备和技术的正是克劳...,投资者提问:中石油系统已经大量加入做聚丙烯熔喷料
- 北京日报客户端|北斗是联合国认可的四大全球卫星导航系统之一
- 笨重情紫感|游戏总结,法师的PK技巧,英雄合击传奇
- 舟山消防|建筑物的“免疫系统”——自动消防设施
- 澎湃新闻、央视新闻|北斗卫星导航系统28nm工艺芯片已量产 北斗心脏精度每三百万年差1秒
- 央广网|北斗系统研制和入轨后需要大量细致有效工作