วิธีติดตามกิจกรรมของผู้ใช้ในโหมด WorkGroup บน Windows 11/10

ฟังก์ชันสำหรับผู้ใช้หลายคนในWindowsช่วยให้เราใช้งานได้สะดวกในสถานที่สาธารณะ เช่น โรงเรียน วิทยาลัย สำนักงาน ฯลฯ ในสถานที่เหล่านี้ โดยทั่วไปจะมีผู้ดูแลระบบที่คอยดูแลกิจกรรมของผู้ใช้ที่ทำงานอยู่ในนั้น บางครั้ง ผู้ใช้ทำเกินขีดจำกัดและแก้ไขบัญชีที่กำหนดค่าในโหมดเวิ ร์กกรุ๊ป (Workgroup)ซึ่งอาจส่งผลต่อความปลอดภัย ดังนั้นเราจึงควรกำหนดค่าWindowsเพื่อติดตามกิจกรรมของผู้ใช้

ด้วยการกำหนดค่าWindowsสำหรับการเฝ้าติดตามกิจกรรมของผู้ใช้ เราสามารถเพิ่มความปลอดภัยในการดูแลระบบ และยังสามารถลงโทษผู้ใช้ที่ตกเป็นเหยื่อด้วยการสังเกตบันทึกของพวกเขาในกรณีที่มีการกระทำผิดกฎหมาย ในบทความนี้ เราจะบอกวิธีการติดตามกิจกรรมของผู้ใช้ในWindows 11/10/8.1/8/7โดยใช้นโยบายการตรวจสอบ นี่คือวิธี:

ติดตามกิจกรรมของผู้(Track User Activity)ใช้โดยใช้นโยบายการตรวจสอบในโหมดเวิร์ กกรุ๊ป(WorkGroup Mode)

1.กดWindows Key + Rรวมกัน พิมพ์ ใส่secpol.mscใน กล่องโต้ตอบ Run และกดEnter เพื่อ(Run)เปิด(Enter) Local Security Policy(Local Security Policy)

ติดตาม-ผู้ใช้-กิจกรรม-In-Windows-8.1-In-WorkGroup-Mode

2.ใน หน้าต่าง Local Security Policyให้ขยายSecurity Settings > Local Policies > Audit Policy ตอนนี้คุณควรทำให้หน้าต่างของคุณคล้ายกับหน้าต่างนี้:

ติดตามผู้ใช้กิจกรรมใน Windows-8.1-In-WorkGroup-Mode-2

3.ในบานหน้าต่างด้านขวา คุณจะเห็น9 การ (9) ตรวจสอบ... [](Audit…[])นโยบายไม่มีการตรวจสอบ(No auditing)เป็นการตั้งค่าความปลอดภัยที่กำหนดไว้ล่วงหน้า (pre-defined)คลิก(Click one)นโยบายทั้งหมดทีละรายการและเลือกไปที่Success and FailureคลิกApplyตามด้วยOKสำหรับแต่ละนโยบาย

ติดตาม-ผู้ใช้-กิจกรรม-In-Windows-8.1-In-WorkGroup-Mode-3

ด้วยวิธีนี้ เราจะกำหนดค่าWindowsเพื่อติดตามกิจกรรมของผู้ใช้

ทำตามขั้นตอนเหล่านี้เพื่อรับบันทึกที่ติดตาม:

ติดตามกิจกรรมของผู้ใช้โดยใช้ตัวแสดงเหตุการณ์(Trace User Activity Using Event Viewer)

1.กดWindows Key + Rรวมกัน พิมพ์ ใส่  eventvwrใน กล่องโต้ตอบ Run และกดEnter เพื่อ(Run)เปิด(Enter) Event Viewer(Event Viewer)

ติดตาม-ผู้ใช้-กิจกรรม-In-Windows-8.1-In-WorkGroup-Mode-4

2.ตอนนี้ ใน หน้าต่าง Event Viewe r จากบานหน้าต่างด้านซ้าย ให้เลือกWindows Logs(Windows Logs) > Security Windows จะเก็บบันทึกทุกเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย

ติดตาม-ผู้ใช้-กิจกรรม-In-Windows-8.1-In-WorkGroup-Mode-5

3.จากบานหน้าต่างตรงกลาง ให้คลิกเหตุการณ์ใดก็ได้เพื่อรับข้อมูล:

ติดตาม-ผู้ใช้-กิจกรรม-In-Windows-8.1-In-WorkGroup-Mode-6

ต่อไปนี้คือรายการID(IDs) เหตุการณ์ ซึ่งครอบคลุมกิจกรรมของผู้ใช้สำหรับบัญชีในโหมดเวิร์กกรุ๊ป:

1. สร้างผู้ใช้:(Create User:)ด้านล่างนี้คือรหัสเหตุการณ์(Event IDs)ที่บันทึกเมื่อสร้างผู้ใช้

  • รหัสเหตุการณ์:(Event ID: ) 4728 | ประเภท:(Type: ) Audit Success | หมวดหมู่:(Category: ) Security Group Management | คำอธิบาย:(Description: )สมาชิกถูกเพิ่มในกลุ่มส่วนกลางที่เปิดใช้งานการรักษาความปลอดภัย
  • รหัสเหตุการณ์:(Event ID: ) 4720 | ประเภท:(Type: ) Audit Success | หมวดหมู่:(Category: )การจัดการบัญชีผู้ใช้ | คำอธิบาย:(Description: )บัญชีผู้ใช้ถูกสร้างขึ้น
  • รหัสเหตุการณ์:(Event ID: ) 4722 | ประเภท:(Type: ) Audit Success | หมวดหมู่:(Category: )การจัดการบัญชีผู้ใช้ | คำอธิบาย:(Description: )เปิดใช้งานบัญชีผู้ใช้แล้ว
  • รหัสเหตุการณ์:(Event ID: ) 4738 | ประเภท:(Type: ) Success Audit | หมวดหมู่:(Category: )การจัดการบัญชีผู้ใช้ | คำอธิบาย:(Description: )บัญชีผู้ใช้มีการเปลี่ยนแปลง
  • รหัสเหตุการณ์:(Event ID: ) 4732 | ประเภท:(Type: ) Success Audit | หมวดหมู่: (Category: ) Security Group Management | คำอธิบาย:(Description: )สมาชิกถูกเพิ่มในกลุ่มภายในที่เปิดใช้งานการรักษาความปลอดภัย

2. ลบผู้ใช้:(Delete User: )ด้านล่างนี้คือรหัสเหตุการณ์(Event IDs)ที่บันทึกเมื่อผู้ใช้ถูกลบ

  • รหัสเหตุการณ์:(Event ID: ) 4733 | ประเภท:(Type: ) Success Audit | หมวดหมู่: (Category: ) Security Group Management | คำอธิบาย:(Description: )สมาชิกถูกลบออกจากกลุ่มภายในที่เปิดใช้งานการรักษาความปลอดภัย
  • รหัสเหตุการณ์:(Event ID: ) 4729 | ประเภท:(Type: ) Success Audit | หมวดหมู่: (Category: ) Security Group Management | คำอธิบาย:(Description: )สมาชิกถูกเพิ่มในกลุ่มส่วนกลางที่เปิดใช้งานการรักษาความปลอดภัย
  • รหัสเหตุการณ์:(Event ID: ) 4726 | ประเภท:( Type: ) Success Audit | หมวดหมู่: (Category: )การจัดการบัญชีผู้ใช้ | คำอธิบาย:(Description: )บัญชีผู้ใช้ถูกลบ

3. บัญชีผู้ใช้ถูกปิดใช้งาน:(User Account Disabled: )ด้านล่างนี้คือรหัสเหตุการณ์(Event IDs)ที่ได้รับการบันทึกเมื่อผู้ใช้ถูกปิดใช้งาน

  • รหัสเหตุการณ์:(Event ID: ) 4725 | ประเภท:(Type: ) Success Audit | หมวดหมู่: (Category: )การจัดการบัญชีผู้ใช้ | คำอธิบาย:(Description: )บัญชีผู้ใช้ถูกปิดใช้งาน
  • รหัสเหตุการณ์:(Event ID: ) 4738 | ประเภท:(Type: ) Success Audit | หมวดหมู่: (Category: )การจัดการบัญชีผู้ใช้ | คำอธิบาย:(Description: )บัญชีผู้ใช้มีการเปลี่ยนแปลง

4. เปิดใช้งานบัญชีผู้ใช้แล้ว:(User Account Enabled: )ด้านล่างนี้คือรหัสเหตุการณ์(Event IDs)ที่ได้รับการบันทึกเมื่อเปิดใช้งานผู้ใช้

  • รหัสเหตุการณ์:(Event ID: ) 4722 | ประเภท:(Type: ) Success Audit | หมวดหมู่: (Category: )การจัดการบัญชีผู้ใช้ | คำอธิบาย:(Description: )เปิดใช้งานบัญชีผู้ใช้แล้ว
  • รหัสเหตุการณ์:(Event ID: ) 4738 | ประเภท:(Type: ) Success Audit | หมวดหมู่: (Category: )การจัดการบัญชีผู้ใช้ | คำอธิบาย:(Description: )บัญชีผู้ใช้มีการเปลี่ยนแปลง

5. รีเซ็ตรหัสผ่านบัญชีผู้ใช้:(User Account Password Reset: )ด้านล่างนี้คือรหัสเหตุการณ์(Event IDs)ที่เข้าสู่ระบบเมื่อรหัสผ่านบัญชีผู้ใช้(User Account Password)ถูกรีเซ็ต

  • รหัสเหตุการณ์:(Event ID: ) 4738 | ประเภท:(Type: ) Success Audit | หมวดหมู่: (Category: )การจัดการบัญชีผู้ใช้ | คำอธิบาย:(Description: )บัญชีผู้ใช้มีการเปลี่ยนแปลง
  • รหัสเหตุการณ์:(Event ID: ) 4724 | ประเภท:(Type: ) Success Audit | หมวดหมู่: (Category: )การจัดการบัญชีผู้ใช้ | คำอธิบาย:(Description: )มีการพยายามรีเซ็ตรหัสผ่านของบัญชี

6. ชุดเส้นทางโปรไฟล์ของบัญชีผู้ใช้: (User Account Profile Path Set: )ด้านล่างนี้(Below)คือID เหตุการณ์(Event ID)ที่ได้รับการบันทึกเมื่อมี การ กำหนดเส้นทางโปรไฟล์(Profile Path)สำหรับบัญชีผู้ใช้

  • รหัสเหตุการณ์:(Event ID: ) 4738 | ประเภท:(Type: ) Success Audit | หมวดหมู่: (Category: )การจัดการบัญชีผู้ใช้ | คำอธิบาย:(Description: )บัญชีผู้ใช้มีการเปลี่ยนแปลง

7. การเปลี่ยนชื่อบัญชีผู้ใช้:(User Account Rename: )ด้านล่างนี้คือรหัสเหตุการณ์(Event IDs)ที่ได้รับการบันทึกเมื่อมีการเปลี่ยนชื่อบัญชีผู้ใช้(User Account)

  •  รหัสเหตุการณ์:(Event ID: ) 4781 | ประเภท:(Type: ) Success Audit | หมวดหมู่: (Category: )การจัดการบัญชีผู้ใช้ | คำอธิบาย:(Description: )ชื่อของบัญชีถูกเปลี่ยนชื่อ
  • รหัสเหตุการณ์:(Event ID: ) 4738 | Type: Success Audit | หมวดหมู่: (Category: )การจัดการบัญชีผู้ใช้ | คำอธิบาย:(Description: )บัญชีผู้ใช้มีการเปลี่ยนแปลง

8. สร้างกลุ่มท้องถิ่น:(Create Local Group: )ด้านล่างนี้คือรหัสเหตุการณ์(Event IDs)ที่ได้รับการบันทึกเมื่อสร้างกลุ่ม ภายใน(Local Group)

  • รหัสเหตุการณ์:(Event ID: ) 4731 | ประเภท:(Type: ) Success Audit | หมวดหมู่: (Category: ) Security Group Management | คำอธิบาย:(Description: )สร้างกลุ่มภายในที่เปิดใช้งานการรักษาความปลอดภัยแล้ว
  • รหัสเหตุการณ์:(Event ID: ) 4735 | ประเภท:(Type: ) Success Audit | หมวดหมู่: (Category: ) Security Group Management | คำอธิบาย:(Description: )เปลี่ยนกลุ่มภายในที่เปิดใช้งานการรักษาความปลอดภัยแล้ว

9. เพิ่มผู้ใช้ในกลุ่มท้องถิ่น: (Add User to Local Group: )ด้าน(Local)ล่างนี้(Below)คือรหัสเหตุการณ์(Event ID)ที่ได้รับการบันทึกเมื่อผู้ใช้ถูกเพิ่มไปยังกลุ่มภายในเครื่อง

  • รหัสเหตุการณ์:(Event ID: ) 4732 | ประเภท:(Type: ) Success Audit | หมวดหมู่: (Category: ) Security Group Management | คำอธิบาย:(Description: )สมาชิกถูกเพิ่มในกลุ่มภายในที่เปิดใช้งานการรักษาความปลอดภัย

10. ลบผู้ใช้ออกจาก Local Group: (Remove User from Local Group: )ด้านล่างนี้(Below)คือ  Event IDที่ได้รับการบันทึกเมื่อผู้ใช้ถูกลบออกจากกลุ่มLocal

  • รหัสเหตุการณ์:(Event ID: ) 4733 | ประเภท:(Type:) Success Audit | หมวดหมู่:(Category:)  Security Group Management | คำอธิบาย:(Description:)สมาชิกถูกลบออกจากกลุ่มภายในที่เปิดใช้งานการรักษาความปลอดภัย

11. ลบ Local Group: (Delete Local Group: )ด้านล่างนี้(Below)คือEvent IDที่ได้รับการบันทึกเมื่อLocal Groupถูกลบ

  • รหัสเหตุการณ์:(Event ID: ) 4734 | ประเภท:(Type: ) Success Audit | หมวดหมู่: (Category: ) Security Group Management | คำอธิบาย:(Description: )กลุ่มภายในที่เปิดใช้งานการรักษาความปลอดภัยถูกลบแล้ว

12. เปลี่ยนชื่อ Local Group:(Rename Local Group: )ด้านล่างนี้คือEvent ID(Event IDs)ที่ได้รับการบันทึกเมื่อมีการเปลี่ยนชื่อLocal Group

  • รหัสเหตุการณ์:(Event ID: ) 4781 | ประเภท:(Type: ) Success Audit | หมวดหมู่: (Category: )การจัดการบัญชีผู้ใช้ | คำอธิบาย:(Description: )มีการเปลี่ยนแปลงชื่อของบัญชี
  • รหัสเหตุการณ์:(Event ID: ) 4735 | ประเภท:(Type: ) Success Audit | หมวดหมู่: (Category: ) Security Group Management | คำอธิบาย:(Description: )เปลี่ยนกลุ่มภายในที่เปิดใช้งานการรักษาความปลอดภัยแล้ว

ด้วยวิธีนี้ คุณสามารถติดตามผู้ใช้ด้วยกิจกรรมของพวกเขา บทความนี้ใช้ได้กับWindows Windows 11/10/8.1ในโหมด Workgroup (Workgroup Mode)สำหรับ Active Directory Domainขั้นตอนจะแตกต่างออกไป



About the author

ฉันเป็นวิศวกรซอฟต์แวร์ที่มีประสบการณ์มากกว่า 10 ปีในการพัฒนาและบำรุงรักษาแอปพลิเคชัน Windows 11 หรือ 10 ฉันยังมีประสบการณ์ในการทำงานกับ Google Docs และ Microsoft Edge ทักษะของฉันในด้านเหล่านี้ทำให้ฉันเป็นผู้สมัครที่ยอดเยี่ยมสำหรับบทบาทวิศวกรรมซอฟต์แวร์ในอนาคต



Related posts