لقد مكنتنا وظائف المستخدمين المتعددين في Windows من استخدامها بشكل ملائم في الأماكن العامة مثل المدارس والكليات والمكاتب وما إلى ذلك. في هذه الأماكن ، يوجد بشكل عام مسؤول يدير مراقبة أنشطة المستخدمين العاملين فيها. في بعض الأحيان ، يتجاوز المستخدمون حدودهم ويقومون بتعديل الحسابات التي تم تكوينها في وضع مجموعة العمل^(Workgroup) . يمكن أن يكون لهذا تداعيات أمنية ، وبالتالي يجب علينا تكوين Windows لتتبع أنشطة المستخدم.

من خلال تكوين Windows لمراقبة أنشطة المستخدم ، يمكننا زيادة أمان الإدارة ويمكننا أيضًا معاقبة المستخدمين الضحايا من خلال مراقبة سجلاتهم في حالة ارتكاب جريمة. في هذه المقالة ، سنخبرك بطريقة تتبع أنشطة المستخدم في Windows 11/10/8.1/8/7 باستخدام نهج التدقيق. هنا هو كيف:

تتبع نشاط المستخدم^{(Track User Activity)} باستخدام نهج التدوين في وضع مجموعة العمل^{(WorkGroup Mode)}

1. اضغط على مجموعة Windows Key + R ، واكتب put secpol.msc في  مربع الحوار Run واضغط على ^(Run)Enter لفتح Local Security Policy .

2. في نافذة نهج الأمان المحلي^{(Local Security Policy)} ، قم بتوسيع إعدادات الأمان^{(Security Settings)} > السياسات المحلية^{(Local Policies)} > نهج التدوين^{(Audit Policy)} . الآن يجب أن تتشابه نافذتك مع هذه النافذة:

3. في الجزء الأيسر ، يمكنك مشاهدة 9 تدوين… []^(Audit…[]) سياسات لا تحتوي على تدقيق^{(No auditing)} كإعداد أمان محدد مسبقًا . ^{(pre-defined)}انقر فوق^{(Click one)} جميع السياسات واحدًا تلو الآخر وحدد الاختيار للنجاح^(Success) والفشل ، وانقر فوق تطبيق ^(OK)متبوعًا^{( Apply)} بموافق لكل^(Failure) سياسة.

بهذه الطريقة ، سنكون قد قمنا بتهيئة Windows لتعقب نشاط المستخدم.

اتبع هذه الخطوات للحصول على السجلات المتعقبة:

تتبع نشاط المستخدم باستخدام عارض الأحداث^{(Trace User Activity Using Event Viewer)}

1. اضغط على مجموعة Windows Key + R ، واكتب put  eventvwr في  مربع الحوار Run واضغط على ^(Run)Enter لفتح Event Viewer .

2. الآن ، في نافذة Event Viewe r ، من الجزء الأيمن ، حدد Windows Logs > Security . هنا يحتفظ Windows بسجل لكل حدث يتعلق بالأمن.

3. من جزء المركز ، انقر فوق أي حدث للحصول على المعلومات الخاصة به:

الآن ، فيما يلي قائمة بمعرفات^(IDs) الأحداث التي تغطي أنشطة المستخدم للحسابات في وضع مجموعة العمل:

1. إنشاء مستخدم:^{(Create User:)} فيما يلي معرفات الأحداث^{(Event IDs)} التي يتم تسجيلها عند إنشاء المستخدم.

• معرف الحدث:^{(Event ID: )} 4728 | النوع:^{(Type: )} تدوين ناجح | التصنيف:^{(Category: )} إدارة مجموعة الأمن | الوصف:^{(Description: )} تمت إضافة عضو إلى مجموعة عمومية مؤمنة.

• معرف الحدث:^{(Event ID: )} 4720 | النوع:^{(Type: )} تدوين ناجح | التصنيف:^{(Category: )} إدارة حساب المستخدم | الوصف:^{(Description: )} تم إنشاء حساب مستخدم.

• معرف الحدث:^{(Event ID: )} 4722 | النوع:^{(Type: )} تدوين ناجح | التصنيف:^{(Category: )} إدارة حساب المستخدم | الوصف:^{(Description: )} تم تمكين حساب مستخدم.

• معرف الحدث:^{(Event ID: )} 4738 | النوع:^{(Type: )} تدقيق النجاح | التصنيف:^{(Category: )} إدارة حساب المستخدم | الوصف:^{(Description: )} تم تغيير حساب المستخدم.

• معرف الحدث:^{(Event ID: )} 4732 | النوع:^{(Type: )} تدقيق النجاح | التصنيف: ^{(Category: )} إدارة مجموعة الأمن | الوصف:^{(Description: )} تمت إضافة عضو إلى مجموعة محلية مؤمنة.

2. حذف المستخدم:^{(Delete User: )} فيما يلي معرفات الأحداث^{(Event IDs)} التي يتم تسجيلها عند حذف المستخدم.

• معرف الحدث:^{(Event ID: )} 4733 | النوع:^{(Type: )} تدقيق النجاح | التصنيف: ^{(Category: )} إدارة مجموعة الأمن | الوصف:^{(Description: )} تمت إزالة عضو من مجموعة محلية مؤمنة.

• معرف الحدث:^{(Event ID: )} 4729 | النوع:^{(Type: )} تدقيق النجاح | التصنيف: ^{(Category: )} إدارة مجموعة الأمن | الوصف:^{(Description: )} تمت إضافة عضو إلى مجموعة عمومية مؤمنة.

• معرف الحدث:^{(Event ID: )} 4726 | النوع:^{( Type: )} تدقيق النجاح | التصنيف: ^{(Category: )} إدارة حساب المستخدم | الوصف:^{(Description: )} تم حذف حساب مستخدم.

3. تعطيل حساب المستخدم:^{(User Account Disabled: )} فيما يلي معرفات الأحداث^{(Event IDs)} التي يتم تسجيلها عند تعطيل المستخدم.

• معرف الحدث:^{(Event ID: )} 4725 | النوع:^{(Type: )} تدقيق النجاح | التصنيف: ^{(Category: )} إدارة حساب المستخدم | الوصف:^{(Description: )} تم تعطيل حساب مستخدم.

• معرف الحدث:^{(Event ID: )} 4738 | النوع:^{(Type: )} تدقيق النجاح | التصنيف: ^{(Category: )} إدارة حساب المستخدم | الوصف:^{(Description: )} تم تغيير حساب المستخدم.

4. تم تمكين حساب المستخدم:^{(User Account Enabled: )} فيما يلي معرفات الأحداث^{(Event IDs)} التي يتم تسجيلها عند تمكين المستخدم.

• معرف الحدث:^{(Event ID: )} 4722 | النوع:^{(Type: )} تدقيق النجاح | التصنيف: ^{(Category: )} إدارة حساب المستخدم | الوصف:^{(Description: )} تم تمكين حساب مستخدم.

• معرف الحدث:^{(Event ID: )} 4738 | النوع:^{(Type: )} تدقيق النجاح | التصنيف: ^{(Category: )} إدارة حساب المستخدم | الوصف:^{(Description: )} تم تغيير حساب المستخدم.

5. إعادة تعيين كلمة مرور حساب المستخدم:^{(User Account Password Reset: )} فيما يلي معرفات الأحداث^{(Event IDs)} التي يتم تسجيلها عند إعادة تعيين كلمة مرور حساب المستخدم^{(User Account Password)} .

• معرف الحدث:^{(Event ID: )} 4738 | النوع:^{(Type: )} تدقيق النجاح | التصنيف: ^{(Category: )} إدارة حساب المستخدم | الوصف:^{(Description: )} تم تغيير حساب المستخدم.

• معرف الحدث:^{(Event ID: )} 4724 | النوع:^{(Type: )} تدقيق النجاح | التصنيف: ^{(Category: )} إدارة حساب المستخدم | الوصف:^{(Description: )} جرت محاولة لإعادة تعيين كلمة مرور الحساب.

6. تعيين مسار ملف تعريف حساب المستخدم:^{(User Account Profile Path Set: )} يوجد أدناه ^(Below)معرف الحدث^{(Event ID)} الذي يتم تسجيله عند تعيين مسار ملف^{(Profile Path)} التعريف لحساب مستخدم.

• معرف الحدث:^{(Event ID: )} 4738 | النوع:^{(Type: )} تدقيق النجاح | التصنيف: ^{(Category: )} إدارة حساب المستخدم | الوصف:^{(Description: )} تم تغيير حساب المستخدم.

7. إعادة تسمية حساب المستخدم:^{(User Account Rename: )} فيما يلي معرفات الأحداث^{(Event IDs)} التي يتم تسجيلها عند إعادة تسمية حساب المستخدم^{(User Account)} .

•  معرف الحدث:^{(Event ID: )} 4781 | النوع:^{(Type: )} تدقيق النجاح | التصنيف: ^{(Category: )} إدارة حساب المستخدم | الوصف:^{(Description: )} تم تغيير اسم الحساب.

• معرف الحدث:^{(Event ID: )} 4738 | Type: تدقيق النجاح | التصنيف: ^{(Category: )} إدارة حساب المستخدم | الوصف:^{(Description: )} تم تغيير حساب المستخدم.

8. إنشاء مجموعة محلية:^{(Create Local Group: )} فيما يلي معرفات الأحداث^{(Event IDs)} التي يتم تسجيلها عند إنشاء المجموعة المحلية^{(Local Group)} .

• معرف الحدث:^{(Event ID: )} 4731 | النوع:^{(Type: )} تدقيق النجاح | التصنيف: ^{(Category: )} إدارة مجموعة الأمن | الوصف:^{(Description: )} تم إنشاء مجموعة محلية مؤمنة

• معرف الحدث:^{(Event ID: )} 4735 | النوع:^{(Type: )} تدقيق النجاح | التصنيف: ^{(Category: )} إدارة مجموعة الأمن | الوصف:^{(Description: )} تم تغيير مجموعة محلية مؤمنة

9. إضافة مستخدم إلى المجموعة المحلية:^{(Add User to Local Group: )} يوجد أدناه ^(Below)معرف الحدث^{(Event ID)} الذي يتم تسجيله عند إضافة المستخدم إلى المجموعة المحلية^(Local) .

• معرف الحدث:^{(Event ID: )} 4732 | النوع:^{(Type: )} تدقيق النجاح | التصنيف: ^{(Category: )} إدارة مجموعة الأمن | الوصف:^{(Description: )} تمت إضافة عضو إلى مجموعة محلية مؤمنة

10. إزالة المستخدم من المجموعة المحلية:^{(Remove User from Local Group: )} يوجد  أدناه ^(Below)معرف الحدث^{(Event ID)} الذي يتم تسجيله عند إزالة المستخدم من المجموعة المحلية^(Local) .

• معرف الحدث:^{(Event ID: )} 4733 | النوع:^(Type:) تدقيق النجاح | التصنيف:^(Category:)  إدارة مجموعة الأمن | الوصف:^{(Description:)} تمت إزالة عضو من مجموعة محلية مؤمنة

11. حذف مجموعة محلية:^{(Delete Local Group: )} يوجد أدناه ^(Below)معرف الحدث^{(Event ID)} الذي يتم تسجيله عند حذف المجموعة المحلية^{(Local Group)} .

• معرف الحدث:^{(Event ID: )} 4734 | النوع:^{(Type: )} تدقيق النجاح | التصنيف: ^{(Category: )} إدارة مجموعة الأمن | الوصف:^{(Description: )} تم حذف مجموعة محلية مؤمنة

12. إعادة تسمية المجموعة المحلية:^{(Rename Local Group: )} فيما يلي معرفات الأحداث^{(Event IDs)} التي يتم تسجيلها عند إعادة تسمية المجموعة المحلية^{(Local Group)} .

• معرف الحدث:^{(Event ID: )} 4781 | النوع:^{(Type: )} تدقيق النجاح | التصنيف: ^{(Category: )} إدارة حساب المستخدم | الوصف:^{(Description: )} تم تغيير اسم الحساب

• معرف الحدث:^{(Event ID: )} 4735 | النوع:^{(Type: )} تدقيق النجاح | التصنيف: ^{(Category: )} إدارة مجموعة الأمن | الوصف:^{(Description: )} تم تغيير مجموعة محلية مؤمنة

بهذه الطريقة ، يمكنك تتبع المستخدمين بأنشطتهم. تنطبق هذه المقالة على Windows 11/10/8.1 في وضع مجموعة العمل^{(Workgroup Mode)} . بالنسبة لمجال Active Directory^{(Directory Domain)} ، سيكون الإجراء مختلفًا.

How to track User Activity in WorkGroup Mode on Windows 11/10

Multi-user functionаlіty in Windows has enabled us to use it conveniently in public places like schools, colleges, offices, etc. At these places, there is generally an administrator, who manages to keep an eye on the activities of users working therein. Sometimes, users go beyond their limits and modify accounts configured in Workgroup mode. This can have security repercussions, and thus we should configure Windows to track down user activities.

By configuring Windows for monitoring user activities, we can increase the security of the administration and can also punish the victim users by observing their records in case of an offense. In this article, we’ll tell you the way to track user activities in Windows 11/10/8.1/8/7 using Audit Policy. Here is how:

Track User Activity using Audit Policy in WorkGroup Mode

1. Press Windows Key + R combination, type put secpol.msc in Run dialog box and hit Enter to open the Local Security Policy.

2. In the Local Security Policy window, expand Security Settings > Local Policies > Audit Policy. Now you should get your window resembled with this one:

3. In the right pane, you can see 9 Audit…[] policies have No auditing as pre-defined security setting. Click one by one all the policies and make the selection to Success and Failure, click Apply followed by OK for each policy.

In this way, we will have configured Windows to track down user activity.

Follow these steps to get the traced records:

Trace User Activity Using Event Viewer

1. Press Windows Key + R combination, type put eventvwr in Run dialog box and hit Enter to open the Event Viewer.

2. Now, in the Event Viewer window, from the left pane, select Windows Logs > Security. Here Windows keeps a record of every event concerning security.

3. From the center pane, click any event to get its info:

Now, here is the list of the event IDs which covers the user activities for the accounts in the workgroup mode:

1. Create User: Below are the Event IDs that get logged when the user is created.

• Event ID: 4728 | Type: Audit Success | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4720 | Type: Audit Success | Category: User Account Management | Description: A User account was created.

• Event ID: 4722 | Type: Audit Success | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group.

2. Delete User: Below are the Event IDs that get logged when the user is deleted.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group.

• Event ID: 4729 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4726 | Type: Success Audit | Category: User Account Management | Description: A User account was deleted.

3. User Account Disabled: Below are the Event IDs that get logged when the user is disabled.

• Event ID: 4725 | Type: Success Audit | Category: User Account Management | Description: A User account was disabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

4. User Account Enabled: Below are the Event IDs that get logged when the user is enabled.

• Event ID: 4722 | Type: Success Audit | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

5. User Account Password Reset: Below are the Event IDs that get logged when the User Account Password gets reset.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4724 | Type: Success Audit | Category: User Account Management | Description: An attempt was made to reset an account’s password.

6. User Account Profile Path Set: Below is the Event ID that gets logged when Profile Path gets set for a user account.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

7. User Account Rename: Below are the Event IDs that get logged when the User Account is renamed.

•  Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: The name of an account was changed.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User Account was changed.

8. Create Local Group: Below are the Event IDs that get logged when the Local Group is created.

• Event ID: 4731 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was created

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

9. Add User to Local Group: Below is the Event ID that gets logged when the user gets added to the Local group.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group

10. Remove User from Local Group: Below is the Event ID that gets logged when the user is removed from the Local group.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group

11. Delete Local Group: Below is the Event ID that gets logged when the Local Group is deleted.

• Event ID: 4734 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was deleted

12. Rename Local Group: Below are the Event IDs that get logged when the Local Group is renamed.

• Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: A name of an account was changed

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

In this way, you can trace users with their activities. This article is applicable for Windows 11/10/8.1 in Workgroup Mode. For Active Directory Domain, the procedure will be different.

Related posts

• Delete ملفات تعريف المستخدمين القديمة والملفات تلقائيا في Windows 10

• كيفية إضافة Group Policy Editor إلى Windows 10 Home Edition

• كيفية تمكين أو تعطيل Win32 Long Paths على Windows 10

• كيفية تعطيل Picture Password Sign-In option في Windows 10

• كيفية تحديد Minimum and Maximum PIN length في Windows 10

• تعطيل Delivery Optimization عبر Group Policy or Registry Editor

• Turn خارج عرض إدخالات البحث الأخيرة في File Explorer في Windows 11/10

• كيفية تحديد الموعد النهائي قبل إعادة التشغيل التلقائي ل Update installation

• كيفية تثبيت Group Policy editor (gpedit.msc)

• كيفية التحقق من Group Policy تطبيقها على جهاز كمبيوتر Windows 10

• كيفية تتبع كمبيوتر Windows ونشاط المستخدم

• خطأ عند فتح Group Policy Editor المحلية في Windows 10

• كيفية حذف المدمج في Administrator Account في Windows 10

• تمكين أو تعطيل Fast Logon Optimization في Windows 10

• استيراد، Export، Repair، Restore Default Firewall Policy في Windows 10

• قم بتعيين Default User Logon Picture لجميع المستخدمين في Windows 10

• تغيير Windows Update Delivery Optimization Max Cache Age

• تغيير Delivery Optimization Cache Drive ل Windows Updates

• كيفية تمكين تسجيل Windows Installer على Windows 10

• كيفية تعيين Network Drive باستخدام Group Policy على Windows 10