La fonctionnalité multi-utilisateurs de Windows nous a permis de l'utiliser facilement dans des lieux publics comme les écoles, les collèges, les bureaux, etc. Dans ces lieux, il y a généralement un administrateur, qui parvient à garder un œil sur les activités des utilisateurs qui y travaillent. Parfois, les utilisateurs dépassent leurs limites et modifient les comptes configurés en mode Workgroup . Cela peut avoir des répercussions sur la sécurité et nous devons donc configurer Windows pour suivre les activités des utilisateurs.

En configurant Windows pour surveiller les activités des utilisateurs, nous pouvons augmenter la sécurité de l'administration et pouvons également punir les utilisateurs victimes en observant leurs enregistrements en cas d'infraction. Dans cet article, nous vous expliquerons comment suivre les activités des utilisateurs dans Windows 11/10/8.1/8/7 à l'aide de la stratégie d'audit. Voici comment:

Suivre l'activité des utilisateurs^{(Track User Activity)} à l' aide de la politique d'audit en mode groupe de travail^{(WorkGroup Mode)}

1. Appuyez sur la combinaison Windows Key + R , tapez put secpol.msc dans la  boîte de dialogue Exécuter et appuyez sur ^(Run)Entrée^(Enter) pour ouvrir la politique de sécurité locale^{(Local Security Policy)} .

2. Dans la fenêtre Stratégie de sécurité locale , développez ^{(Local Security Policy)}Paramètres de sécurité^{(Security Settings)} > Stratégies locales^{(Local Policies)} > Stratégie d'audit^{(Audit Policy)} . Maintenant, vous devriez obtenir votre fenêtre ressemblant à celle-ci :

3. Dans le volet de droite, vous pouvez voir 9 stratégies ⁽⁹⁾ Audit…[] ont Aucun audit^{(No auditing)} comme paramètre de sécurité prédéfini . ^{(pre-defined)}Cliquez une^{(Click one)} par une sur toutes les stratégies et faites la sélection sur Succès^(Success) et Échec^(Failure) , cliquez sur Appliquer^{( Apply)} suivi de OK pour chaque stratégie.

De cette façon, nous aurons configuré Windows pour suivre l'activité des utilisateurs.

Suivez ces étapes pour obtenir les enregistrements suivis :

Suivre l'activité de l'utilisateur à l'aide de l'Observateur d'événements^{(Trace User Activity Using Event Viewer)}

1. Appuyez sur la combinaison Windows Key + R , tapez put  eventvwr dans la  boîte de dialogue Exécuter et appuyez sur ^(Run)Entrée^(Enter) pour ouvrir l' Observateur d' événements^{(Event Viewer)} .

2. Maintenant, dans la fenêtre Observateur d' événements^{(Event Viewe)} , dans le volet de gauche, sélectionnez Journaux Windows^{(Windows Logs)} > Sécurité^(Security) . Ici, Windows conserve un enregistrement de chaque événement concernant la sécurité.

3. Dans le volet central, cliquez sur n'importe quel événement pour obtenir ses informations :

Voici maintenant la liste des ID^(IDs) d'événement qui couvre les activités des utilisateurs pour les comptes en mode groupe de travail :

1. Créer un utilisateur :^{(Create User:)} vous trouverez ci-dessous les ID^{(Event IDs)} d'événement enregistrés lors de la création de l'utilisateur.

• ID d'événement :^{(Event ID: )} 4728 | Tapez :^{(Type: )} Réussite de l'audit | Catégorie :^{(Category: )} Gestion de groupe de sécurité | Description : un membre a été ajouté à un groupe global dont la sécurité est activée.

• ID d'événement :^{(Event ID: )} 4720 | Tapez :^{(Type: )} Réussite de l'audit | Catégorie :^{(Category: )} Gestion des comptes d'utilisateurs | Description : Un compte utilisateur a été créé.

• ID d'événement :^{(Event ID: )} 4722 | Tapez :^{(Type: )} Réussite de l'audit | Catégorie :^{(Category: )} Gestion des comptes d'utilisateurs | Description : un compte d'utilisateur a été activé.

• ID d'événement :^{(Event ID: )} 4738 | Tapez :^{(Type: )} Audit de réussite | Catégorie :^{(Category: )} Gestion des comptes d'utilisateurs | Description : un compte d'utilisateur a été modifié.

• ID d'événement :^{(Event ID: )} 4732 | Tapez :^{(Type: )} Audit de réussite | Catégorie : ^{(Category: )} Gestion de groupe de sécurité | Description : un membre a été ajouté à un groupe local dont la sécurité est activée.

2. Supprimer l'utilisateur :^{(Delete User: )} vous trouverez ci-dessous les ID d'événement^{(Event IDs)} qui sont enregistrés lorsque l'utilisateur est supprimé.

• ID d'événement :^{(Event ID: )} 4733 | Tapez :^{(Type: )} Audit de réussite | Catégorie : ^{(Category: )} Gestion de groupe de sécurité | Description : un membre a été supprimé d'un groupe local dont la sécurité est activée.

• ID d'événement :^{(Event ID: )} 4729 | Tapez :^{(Type: )} Audit de réussite | Catégorie : ^{(Category: )} Gestion de groupe de sécurité | Description : un membre a été ajouté à un groupe global dont la sécurité est activée.

• ID d'événement :^{(Event ID: )} 4726 | Tapez :^{( Type: )} Audit de réussite | Catégorie : ^{(Category: )} Gestion des comptes d'utilisateurs | Description : un compte d'utilisateur a été supprimé.

3. Compte d'utilisateur désactivé :^{(User Account Disabled: )} vous trouverez ci-dessous les ID d'événement^{(Event IDs)} qui sont enregistrés lorsque l'utilisateur est désactivé.

• ID d'événement :^{(Event ID: )} 4725 | Tapez :^{(Type: )} Audit de réussite | Catégorie : ^{(Category: )} Gestion des comptes d'utilisateurs | Description : un compte d'utilisateur a été désactivé.

• ID d'événement :^{(Event ID: )} 4738 | Tapez :^{(Type: )} Audit de réussite | Catégorie : ^{(Category: )} Gestion des comptes d'utilisateurs | Description : un compte d'utilisateur a été modifié.

4. Compte d'utilisateur activé :^{(User Account Enabled: )} vous trouverez ci-dessous les ID d'événement^{(Event IDs)} qui sont enregistrés lorsque l'utilisateur est activé.

• ID d'événement :^{(Event ID: )} 4722 | Tapez :^{(Type: )} Audit de réussite | Catégorie : ^{(Category: )} Gestion des comptes d'utilisateurs | Description : un compte d'utilisateur a été activé.

• ID d'événement :^{(Event ID: )} 4738 | Tapez :^{(Type: )} Audit de réussite | Catégorie : ^{(Category: )} Gestion des comptes d'utilisateurs | Description : un compte d'utilisateur a été modifié.

5. Réinitialisation du mot de passe du compte utilisateur :^{(User Account Password Reset: )} vous trouverez ci-dessous les ID d'événement^{(Event IDs)} qui sont enregistrés lorsque le mot de passe du compte utilisateur^{(User Account Password)} est réinitialisé.

• ID d'événement :^{(Event ID: )} 4738 | Tapez :^{(Type: )} Audit de réussite | Catégorie : ^{(Category: )} Gestion des comptes d'utilisateurs | Description : un compte d'utilisateur a été modifié.

• ID d'événement :^{(Event ID: )} 4724 | Tapez :^{(Type: )} Audit de réussite | Catégorie : ^{(Category: )} Gestion des comptes d'utilisateurs | Description : tentative de réinitialisation du mot de passe d'un compte.

6. Ensemble de chemin de profil de compte d'utilisateur : vous ^{(User Account Profile Path Set: )}trouverez ci^(Below) -dessous l' ID d'événement^{(Event ID)} qui est enregistré lorsque le chemin de profil^{(Profile Path)} est défini pour un compte d'utilisateur.

• ID d'événement :^{(Event ID: )} 4738 | Tapez :^{(Type: )} Audit de réussite | Catégorie : ^{(Category: )} Gestion des comptes d'utilisateurs | Description : un compte d'utilisateur a été modifié.

7. Renommer le compte d'utilisateur :^{(User Account Rename: )} vous trouverez ci-dessous les ID d'événement^{(Event IDs)} qui sont enregistrés lorsque le compte d'utilisateur^{(User Account)} est renommé.

•  ID d'événement :^{(Event ID: )} 4781 | Tapez :^{(Type: )} Audit de réussite | Catégorie : ^{(Category: )} Gestion des comptes d'utilisateurs | Description : le nom d'un compte a été modifié.

• ID d'événement :^{(Event ID: )} 4738 | Type: Audit de réussite | Catégorie : ^{(Category: )} Gestion des comptes d'utilisateurs | Description : Un compte d'utilisateur a été modifié.

8. Créer un groupe local :^{(Create Local Group: )} vous trouverez ci-dessous les ID^{(Event IDs)} d'événement enregistrés lors de la création du groupe local^{(Local Group)} .

• ID d'événement :^{(Event ID: )} 4731 | Tapez :^{(Type: )} Audit de réussite | Catégorie : ^{(Category: )} Gestion de groupe de sécurité | Description : un groupe local dont la sécurité est activée a été créé

• ID d'événement :^{(Event ID: )} 4735 | Tapez :^{(Type: )} Audit de réussite | Catégorie : ^{(Category: )} Gestion de groupe de sécurité | Description : un groupe local dont la sécurité est activée a été modifié

9. Ajouter un utilisateur au groupe local : vous ^{(Add User to Local Group: )}trouverez ci^(Below) -dessous l' ID d'événement^{(Event ID)} enregistré lorsque l'utilisateur est ajouté au groupe local .

• ID d'événement :^{(Event ID: )} 4732 | Tapez :^{(Type: )} Audit de réussite | Catégorie : ^{(Category: )} Gestion de groupe de sécurité | Description : un membre a été ajouté à un groupe local dont la sécurité est activée

10. Supprimer l'utilisateur du groupe local : vous ^{(Remove User from Local Group: )}trouverez ci^(Below) -dessous l'  ID d'événement^{(Event ID)} enregistré lorsque l'utilisateur est supprimé du groupe local .

• ID d'événement :^{(Event ID: )} 4733 | Tapez :^(Type:) Audit de réussite | Catégorie :^(Category:)  Gestion de groupe de sécurité | Description : un membre a été supprimé d'un groupe local dont la sécurité est activée

11. Supprimer le groupe local : vous ^{(Delete Local Group: )}trouverez ci^(Below) -dessous l' ID d'événement^{(Event ID)} enregistré lorsque le groupe local^{(Local Group)} est supprimé.

• ID d'événement :^{(Event ID: )} 4734 | Tapez :^{(Type: )} Audit de réussite | Catégorie : ^{(Category: )} Gestion de groupe de sécurité | Description : un groupe local dont la sécurité est activée a été supprimé

12. Renommer le groupe local :^{(Rename Local Group: )} vous trouverez ci-dessous les ID^{(Event IDs)} d'événement enregistrés lorsque le groupe local^{(Local Group)} est renommé.

• ID d'événement :^{(Event ID: )} 4781 | Tapez :^{(Type: )} Audit de réussite | Catégorie : ^{(Category: )} Gestion des comptes d'utilisateurs | Description : le nom d'un compte a été modifié

• ID d'événement :^{(Event ID: )} 4735 | Tapez :^{(Type: )} Audit de réussite | Catégorie : ^{(Category: )} Gestion de groupe de sécurité | Description : un groupe local dont la sécurité est activée a été modifié

De cette façon, vous pouvez suivre les utilisateurs avec leurs activités. Cet article s'applique à Windows 11/10/8.1 en mode groupe de travail^{(Workgroup Mode)} . Pour le domaine Active Directory^{(Directory Domain)} , la procédure sera différente.

How to track User Activity in WorkGroup Mode on Windows 11/10

Multi-user functionality in Windows has enabled us to use it conveniently in public places like schools, colleges, offices, etc. At these places, there is generally an administrator, who manages to keep an eye on the activities of users working therein. Sometimes, users go beyond their limits and modify accounts configured in Workgroup mode. This can have security repercussions, and thus we should configure Windows to track down user activities.

By configuring Windows for monitoring user activities, we can increase the security of the administration and can also punish the victim users by observing their records in case of an offense. In this article, we’ll tell you the way to track user activities in Windows 11/10/8.1/8/7 using Audit Policy. Here is how:

Track User Activity using Audit Policy in WorkGroup Mode

1. Press Windows Key + R combination, type put secpol.msc in Run dialog box and hit Enter to open the Local Security Policy.

2. In the Local Security Policy window, expand Security Settings > Local Policies > Audit Policy. Now you should get your window resembled with this one:

3. In the right pane, you can see 9 Audit…[] policies have No auditing as pre-defined security setting. Click one by one all the policies and make the selection to Success and Failure, click Apply followed by OK for each policy.

In this way, we will have configured Windows to track down user activity.

Follow these steps to get the traced records:

Trace User Activity Using Event Viewer

1. Press Windows Key + R combination, type put eventvwr in Run dialog box and hit Enter to open the Event Viewer.

2. Now, in the Event Viewer window, from the left pane, select Windows Logs > Security. Here Windows keeps a record of every event concerning security.

3. From the center pane, click any event to get its info:

Now, here is the list of the event IDs which covers the user activities for the accounts in the workgroup mode:

1. Create User: Below are the Event IDs that get logged when the user is created.

• Event ID: 4728 | Type: Audit Success | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4720 | Type: Audit Success | Category: User Account Management | Description: A User account was created.

• Event ID: 4722 | Type: Audit Success | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group.

2. Delete User: Below are the Event IDs that get logged when the user is deleted.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group.

• Event ID: 4729 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4726 | Type: Success Audit | Category: User Account Management | Description: A User account was deleted.

3. User Account Disabled: Below are the Event IDs that get logged when the user is disabled.

• Event ID: 4725 | Type: Success Audit | Category: User Account Management | Description: A User account was disabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

4. User Account Enabled: Below are the Event IDs that get logged when the user is enabled.

• Event ID: 4722 | Type: Success Audit | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

5. User Account Password Reset: Below are the Event IDs that get logged when the User Account Password gets reset.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4724 | Type: Success Audit | Category: User Account Management | Description: An attempt was made to reset an account’s password.

6. User Account Profile Path Set: Below is the Event ID that gets logged when Profile Path gets set for a user account.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

7. User Account Rename: Below are the Event IDs that get logged when the User Account is renamed.

•  Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: The name of an account was changed.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User Account was changed.

8. Create Local Group: Below are the Event IDs that get logged when the Local Group is created.

• Event ID: 4731 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was created

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

9. Add User to Local Group: Below is the Event ID that gets logged when the user gets added to the Local group.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group

10. Remove User from Local Group: Below is the Event ID that gets logged when the user is removed from the Local group.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group

11. Delete Local Group: Below is the Event ID that gets logged when the Local Group is deleted.

• Event ID: 4734 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was deleted

12. Rename Local Group: Below are the Event IDs that get logged when the Local Group is renamed.

• Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: A name of an account was changed

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

In this way, you can trace users with their activities. This article is applicable for Windows 11/10/8.1 in Workgroup Mode. For Active Directory Domain, the procedure will be different.

Related posts

• Delete Vieux profils d'utilisateur et fichiers automatiquement dans Windows 10

• Comment ajouter Group Policy Editor à Windows 10 Home Edition

• Comment activer ou désactiver Win32 Long Paths sur Windows 10

• Comment désactiver Picture Password Sign-In option dans Windows 10

• Comment spécifier Minimum and Maximum PIN length dans Windows 10

• Activer, désactiver Autocorrect and Highlight Misspelled Words - Windows 10

• Le Group Policy Client service a échoué la connexion en Windows 11/10

• Activer ou désactiver Fast Logon Optimization dans Windows 10

• Changer Delivery Optimization Cache Drive pour Windows Updates

• Limit Reservable Bandwidth Setting en Windows 10

• Importation, Export, Repair, Restore Default Firewall Policy dans Windows 10

• Windows 10 ne fonctionne pas Sleep | Sleep Mode ne fonctionne pas dans Windows 10

• Rediriger les sites de IE à Microsoft Edge en utilisant Group Policy dans Windows 10

• Access Local User and Group Management en Windows 10 Home

• Comment vérifier le Group Policy appliqué sur un ordinateur Windows 10

• Comment activer la journalisation Windows Installer sur Windows 10

• Activer Windows 10 Full Écran Start Menu à l'aide de Group Policy or Registry

• Erreur lorsque vous ouvrez Group Policy Editor Local à Windows 10

• Comment appliquer Layered Group Policy dans Windows 11/10

• Le dependency Service or Group n'a pas pu démarrer en Windows 10