Fungsionalitas multi-user di Windows memungkinkan kita untuk menggunakannya dengan nyaman di tempat-tempat umum seperti sekolah, perguruan tinggi, kantor, dll. Di tempat-tempat ini, umumnya ada administrator, yang mengatur untuk mengawasi aktivitas pengguna yang bekerja di dalamnya. Terkadang, pengguna melampaui batas mereka dan mengubah akun yang dikonfigurasi dalam mode Grup Kerja . ^(Workgroup)Ini dapat memiliki dampak keamanan, dan dengan demikian kita harus mengonfigurasi Windows untuk melacak aktivitas pengguna.

Dengan mengkonfigurasi Windows untuk memantau aktivitas pengguna, kami dapat meningkatkan keamanan administrasi dan juga dapat menghukum pengguna korban dengan mengamati catatan mereka jika terjadi pelanggaran. Pada artikel ini, kami akan memberi tahu Anda cara melacak aktivitas pengguna di Windows 11/10/8.1/8/7 menggunakan Kebijakan Audit. Inilah caranya:

Lacak Aktivitas Pengguna^{(Track User Activity)} menggunakan Kebijakan Audit dalam Mode WorkGroup^{(WorkGroup Mode)}

1. Tekan kombinasi Windows Key + Rsecpol.msc di kotak dialog Run  dan tekan Enter untuk membuka Kebijakan Keamanan Lokal^{(Local Security Policy)} .

2. Di jendela Kebijakan Keamanan Lokal^{(Local Security Policy)} , luaskan Pengaturan Keamanan^{(Security Settings)} > Kebijakan Lokal^{(Local Policies)} > Kebijakan Audit^{(Audit Policy)} . Sekarang Anda harus membuat jendela Anda mirip dengan yang ini:

3. Di panel kanan, Anda dapat melihat 9 Audit…[] kebijakan memiliki Tidak ada audit^{(No auditing)} sebagai pengaturan keamanan yang telah ditentukan sebelumnya . ^{(pre-defined)}Klik satu^{(Click one)} per satu semua kebijakan dan buat pilihan menjadi Sukses^(Success) dan Gagal^(Failure) , klik Terapkan^{( Apply)} diikuti dengan OK untuk setiap kebijakan.

Dengan cara ini, kami akan mengonfigurasi Windows untuk melacak aktivitas pengguna.

Ikuti langkah-langkah ini untuk mendapatkan rekaman yang dilacak:

Lacak Aktivitas Pengguna Menggunakan Peraga Peristiwa^{(Trace User Activity Using Event Viewer)}

1. Tekan kombinasi  Windows Key + Reventvwr di kotak dialog Run  dan tekan Enter untuk membuka Event Viewer .

2. Sekarang, di jendela Peraga Peristiwa^{(Event Viewe)} , dari panel kiri, pilih Log Windows^{(Windows Logs)} > Keamanan^(Security) . Di sini Windows menyimpan catatan setiap kejadian yang berkaitan dengan keamanan.

3. Dari panel tengah, klik acara apa saja untuk mendapatkan infonya:

Sekarang, berikut adalah daftar ID^(IDs) peristiwa yang mencakup aktivitas pengguna untuk akun dalam mode grup kerja:

1. Buat Pengguna:^{(Create User:)} Di bawah ini adalah ID Peristiwa^{(Event IDs)} yang dicatat saat pengguna dibuat.

• ID Acara:^{(Event ID: )} 4728 | Jenis:^{(Type: )} Keberhasilan Audit | Kategori:^{(Category: )} Manajemen Grup Keamanan | Deskripsi:^{(Description: )} Anggota telah ditambahkan ke grup global yang mendukung Keamanan.

• ID Acara:^{(Event ID: )} 4720 | Jenis:^{(Type: )} Keberhasilan Audit | Kategori:^{(Category: )} Manajemen Akun Pengguna | Deskripsi:^{(Description: )} Akun pengguna telah dibuat.

• ID Acara:^{(Event ID: )} 4722 | Jenis:^{(Type: )} Keberhasilan Audit | Kategori:^{(Category: )} Manajemen Akun Pengguna | Deskripsi:^{(Description: )} Akun pengguna telah diaktifkan.

• ID Acara:^{(Event ID: )} 4738 | Jenis:^{(Type: )} Audit Sukses | Kategori:^{(Category: )} Manajemen Akun Pengguna | Deskripsi:^{(Description: )} Akun pengguna telah diubah.

• ID Acara:^{(Event ID: )} 4732 | Jenis:^{(Type: )} Audit Sukses | Kategori: ^{(Category: )} Manajemen Grup Keamanan | Deskripsi:^{(Description: )} Anggota telah ditambahkan ke grup lokal yang mendukung keamanan.

2. Hapus Pengguna:^{(Delete User: )} Di bawah ini adalah ID Peristiwa^{(Event IDs)} yang dicatat saat pengguna dihapus.

• ID Acara:^{(Event ID: )} 4733 | Jenis:^{(Type: )} Audit Sukses | Kategori: ^{(Category: )} Manajemen Grup Keamanan | Deskripsi:^{(Description: )} Seorang anggota telah dihapus dari grup lokal yang mendukung Keamanan.

• ID Acara:^{(Event ID: )} 4729 | Jenis:^{(Type: )} Audit Sukses | Kategori: ^{(Category: )} Manajemen Grup Keamanan | Deskripsi:^{(Description: )} Anggota telah ditambahkan ke grup global yang mendukung Keamanan.

• ID Acara:^{(Event ID: )} 4726 | Jenis:^{( Type: )} Audit Sukses | Kategori: ^{(Category: )} Manajemen Akun Pengguna | Deskripsi:^{(Description: )} Akun pengguna telah dihapus.

3. Akun Pengguna Dinonaktifkan:^{(User Account Disabled: )} Di bawah ini adalah ID Peristiwa^{(Event IDs)} yang dicatat saat pengguna dinonaktifkan.

• ID Acara:^{(Event ID: )} 4725 | Jenis:^{(Type: )} Audit Sukses | Kategori: ^{(Category: )} Manajemen Akun Pengguna | Deskripsi:^{(Description: )} Akun pengguna dinonaktifkan.

• ID Acara:^{(Event ID: )} 4738 | Jenis:^{(Type: )} Audit Sukses | Kategori: ^{(Category: )} Manajemen Akun Pengguna | Deskripsi:^{(Description: )} Akun pengguna telah diubah.

4. Akun Pengguna Diaktifkan:^{(User Account Enabled: )} Di bawah ini adalah ID Peristiwa^{(Event IDs)} yang dicatat saat pengguna diaktifkan.

• ID Acara:^{(Event ID: )} 4722 | Jenis:^{(Type: )} Audit Sukses | Kategori: ^{(Category: )} Manajemen Akun Pengguna | Deskripsi:^{(Description: )} Akun pengguna telah diaktifkan.

• ID Acara:^{(Event ID: )} 4738 | Jenis:^{(Type: )} Audit Sukses | Kategori: ^{(Category: )} Manajemen Akun Pengguna | Deskripsi:^{(Description: )} Akun pengguna telah diubah.

5. Reset Kata Sandi Akun Pengguna:^{(User Account Password Reset: )} Di bawah ini adalah ID Peristiwa^{(Event IDs)} yang dicatat ketika Kata Sandi Akun Pengguna^{(User Account Password)} diatur ulang.

• ID Acara:^{(Event ID: )} 4738 | Jenis:^{(Type: )} Audit Sukses | Kategori: ^{(Category: )} Manajemen Akun Pengguna | Deskripsi:^{(Description: )} Akun pengguna telah diubah.

• ID Acara:^{(Event ID: )} 4724 | Jenis:^{(Type: )} Audit Sukses | Kategori: ^{(Category: )} Manajemen Akun Pengguna | Deskripsi:^{(Description: )} Upaya telah dilakukan untuk menyetel ulang sandi akun.

6. Set Jalur Profil Akun Pengguna: ^{(User Account Profile Path Set: )}Di bawah^(Below) ini adalah ID Peristiwa^{(Event ID)} yang dicatat saat Jalur Profil^{(Profile Path)} ditetapkan untuk akun pengguna.

• ID Acara:^{(Event ID: )} 4738 | Jenis:^{(Type: )} Audit Sukses | Kategori: ^{(Category: )} Manajemen Akun Pengguna | Deskripsi:^{(Description: )} Akun pengguna telah diubah.

7. Ganti Nama Akun Pengguna:^{(User Account Rename: )} Di bawah ini adalah ID Peristiwa^{(Event IDs)} yang dicatat ketika Akun Pengguna^{(User Account)} diubah namanya.

•  ID Acara:^{(Event ID: )} 4781 | Jenis:^{(Type: )} Audit Sukses | Kategori: ^{(Category: )} Manajemen Akun Pengguna | Deskripsi:^{(Description: )} Nama akun telah diubah.

• ID Acara:^{(Event ID: )} 4738 | Type: Audit Sukses | Kategori: ^{(Category: )} Manajemen Akun Pengguna | Deskripsi:^{(Description: )} Akun Pengguna telah diubah.

8. Buat Grup Lokal:^{(Create Local Group: )} Di bawah ini adalah ID Peristiwa^{(Event IDs)} yang dicatat saat Grup Lokal^{(Local Group)} dibuat.

• ID Acara:^{(Event ID: )} 4731 | Jenis:^{(Type: )} Audit Sukses | Kategori: ^{(Category: )} Manajemen Grup Keamanan | Deskripsi:^{(Description: )} Grup lokal yang mendukung keamanan telah dibuat

• ID Acara:^{(Event ID: )} 4735 | Jenis:^{(Type: )} Audit Sukses | Kategori: ^{(Category: )} Manajemen Grup Keamanan | Deskripsi:^{(Description: )} Grup lokal yang mendukung keamanan telah diubah

9. Tambahkan Pengguna ke Grup Lokal: ^{(Add User to Local Group: )}Di bawah^(Below) ini adalah ID Peristiwa^{(Event ID)} yang dicatat ketika pengguna ditambahkan ke grup Lokal^(Local) .

• ID Acara:^{(Event ID: )} 4732 | Jenis:^{(Type: )} Audit Sukses | Kategori: ^{(Category: )} Manajemen Grup Keamanan | Deskripsi:^{(Description: )} Seorang anggota telah ditambahkan ke grup lokal yang mendukung Keamanan

10. Hapus Pengguna dari Grup Lokal: ^{(Remove User from Local Group: )}Di bawah^(Below) ini adalah  ID Peristiwa^{(Event ID)} yang dicatat ketika pengguna dihapus dari grup Lokal^(Local) .

• ID Acara:^{(Event ID: )} 4733 | Jenis:^(Type:) Audit Sukses | Kategori:^(Category:)  Manajemen Grup Keamanan | Deskripsi:^{(Description:)} Seorang anggota telah dihapus dari grup lokal yang mendukung Keamanan

11. Hapus Grup Lokal: ^{(Delete Local Group: )}Di bawah^(Below) ini adalah ID Peristiwa^{(Event ID)} yang dicatat ketika Grup Lokal^{(Local Group)} dihapus.

• ID Acara:^{(Event ID: )} 4734 | Jenis:^{(Type: )} Audit Sukses | Kategori: ^{(Category: )} Manajemen Grup Keamanan | Deskripsi:^{(Description: )} Grup lokal yang mendukung Keamanan telah dihapus

12. Ganti Nama Grup Lokal:^{(Rename Local Group: )} Di bawah ini adalah ID Peristiwa^{(Event IDs)} yang dicatat ketika Grup Lokal^{(Local Group)} diganti namanya.

• ID Acara:^{(Event ID: )} 4781 | Jenis:^{(Type: )} Audit Sukses | Kategori: ^{(Category: )} Manajemen Akun Pengguna | Deskripsi:^{(Description: )} Nama akun telah diubah

• ID Acara:^{(Event ID: )} 4735 | Jenis:^{(Type: )} Audit Sukses | Kategori: ^{(Category: )} Manajemen Grup Keamanan | Deskripsi:^{(Description: )} Grup lokal yang mendukung keamanan telah diubah

Dengan cara ini, Anda dapat melacak pengguna dengan aktivitas mereka. Artikel ini berlaku untuk Windows 11/10/8.1 dalam Mode Workgroup^{(Workgroup Mode)} . Untuk Active Directory Domain , prosedurnya akan berbeda.

How to track User Activity in WorkGroup Mode on Windows 11/10

Multi-user functionality in Windows has enabled us to use it conveniently in public places like schools, colleges, offices, etc. At these places, there is generally an administrator, who manages to keep an eye on the activities of users working therein. Sometimes, users go beyond their limits and modify accounts configured in Workgroup mode. This can have security repercussions, and thus we should configure Windows to track down user activities.

By configuring Windows for monitoring user activities, we can increase the security of the administration and can also punish the victim users by observing their records in case of an offense. In this article, we’ll tell you the way to track user activities in Windows 11/10/8.1/8/7 using Audit Policy. Here is how:

Track User Activity using Audit Policy in WorkGroup Mode

1. Press Windows Key + R combination, type put secpol.msc in Run dialog box and hit Enter to open the Local Security Policy.

2. In the Local Security Policy window, expand Security Settings > Local Policies > Audit Policy. Now you should get your window resembled with this one:

3. In the right pane, you can see 9 Audit…[] policies have No auditing as pre-defined security setting. Click one by one all the policies and make the selection to Success and Failure, click Apply followed by OK for each policy.

In this way, we will have configured Windows to track down user activity.

Follow these steps to get the traced records:

Trace User Activity Using Event Viewer

1. Press Windows Key + R combination, type put eventvwr in Run dialog box and hit Enter to open the Event Viewer.

2. Now, in the Event Viewer window, from the left pane, select Windows Logs > Security. Here Windows keeps a record of every event concerning security.

3. From the center pane, click any event to get its info:

Now, here is the list of the event IDs which covers the user activities for the accounts in the workgroup mode:

1. Create User: Below are the Event IDs that get logged when the user is created.

• Event ID: 4728 | Type: Audit Success | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4720 | Type: Audit Success | Category: User Account Management | Description: A User account was created.

• Event ID: 4722 | Type: Audit Success | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group.

2. Delete User: Below are the Event IDs that get logged when the user is deleted.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group.

• Event ID: 4729 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4726 | Type: Success Audit | Category: User Account Management | Description: A User account was deleted.

3. User Account Disabled: Below are the Event IDs that get logged when the user is disabled.

• Event ID: 4725 | Type: Success Audit | Category: User Account Management | Description: A User account was disabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

4. User Account Enabled: Below are the Event IDs that get logged when the user is enabled.

• Event ID: 4722 | Type: Success Audit | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

5. User Account Password Reset: Below are the Event IDs that get logged when the User Account Password gets reset.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4724 | Type: Success Audit | Category: User Account Management | Description: An attempt was made to reset an account’s password.

6. User Account Profile Path Set: Below is the Event ID that gets logged when Profile Path gets set for a user account.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

7. User Account Rename: Below are the Event IDs that get logged when the User Account is renamed.

•  Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: The name of an account was changed.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User Account was changed.

8. Create Local Group: Below are the Event IDs that get logged when the Local Group is created.

• Event ID: 4731 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was created

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

9. Add User to Local Group: Below is the Event ID that gets logged when the user gets added to the Local group.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group

10. Remove User from Local Group: Below is the Event ID that gets logged when the user is removed from the Local group.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group

11. Delete Local Group: Below is the Event ID that gets logged when the Local Group is deleted.

• Event ID: 4734 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was deleted

12. Rename Local Group: Below are the Event IDs that get logged when the Local Group is renamed.

• Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: A name of an account was changed

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

In this way, you can trace users with their activities. This article is applicable for Windows 11/10/8.1 in Workgroup Mode. For Active Directory Domain, the procedure will be different.

Related posts

• Delete Profil dan file pengguna lama secara otomatis di Windows 10

• Cara Menambahkan Group Policy Editor ke Windows 10 Home Edition

• Cara Mengaktifkan atau Menonaktifkan Win32 Long Paths pada Windows 10

• Cara menonaktifkan Picture Password Sign-In option di Windows 10

• Cara menentukan Minimum and Maximum PIN length di Windows 10

• Cara menentukan batas waktu sebelum restart otomatis untuk Update installation

• Stop Windows 10 dari Preloading Microsoft Edge pada Startup

• Access Local User and Group Management di Windows 10 Home

• Aktifkan Layar Windows 10 Full Start Menu Menggunakan Group Policy or Registry

• Impor, Export, Repair, Restore Default Firewall Policy di Windows 10

• Atur Default User Logon Picture untuk semua pengguna di Windows 10

• Cara Import or Export Group Policy settings di Windows 10

• Cara Memeriksa Group Policy Diterapkan pada Komputer Windows 10

• perubahan Windows Update Delivery Optimization Max Cache Age

• Desktop Background Group Policy tidak menerapkan di Windows 10

• Ubah Delivery Optimization Cache Drive untuk Windows Updates

• Cara Membuat Local User Account Menggunakan PowerShell di Windows 10

• Customize Ctrl+Alt+Del Screen menggunakan Group Policy or Registry di Windows

• Turn Tampilkan entri pencarian terbaru di File Explorer di Windows 11/10

• Create desktop Pintasan ke Switch User Accounts di Windows 11/10