Windows'taki^(Windows) çok kullanıcılı işlevsellik, onu okullar, kolejler, ofisler vb. gibi halka açık yerlerde rahatça kullanmamızı sağladı. Bu yerlerde, genellikle orada çalışan kullanıcıların etkinliklerini izlemeyi başaran bir yönetici vardır. Bazen kullanıcılar sınırlarının ötesine geçer ve Çalışma Grubu^(Workgroup) modunda yapılandırılan hesapları değiştirir. Bunun güvenlik yansımaları olabilir ve bu nedenle Windows'u^(Windows) kullanıcı etkinliklerini izleyecek şekilde yapılandırmamız gerekir.

Windows'u^(Windows) kullanıcı faaliyetlerini izlemek için yapılandırarak , yönetimin güvenliğini artırabilir ve ayrıca bir suç durumunda kayıtlarını gözlemleyerek mağdur kullanıcıları cezalandırabiliriz. Bu makalede, Denetim İlkesi kullanarak Windows 11/10/8.1/8/7 kullanıcı etkinliklerini izlemenin yolunu anlatacağız . İşte nasıl:

^{(Track User Activity)}WorkGroup Modunda^{(WorkGroup Mode)} Denetim Politikasını kullanarak Kullanıcı Etkinliğini İzleme

1. Windows Key + R kombinasyonuna basın , Çalıştır^(Run)  iletişim kutusuna put secpol.msc yazın ve ^(secpol.msc)Yerel Güvenlik İlkesi'ni^{(Local Security Policy)} açmak için Enter'a^(Enter) basın .

2. Yerel Güvenlik İlkesi^{(Local Security Policy)} penceresinde , Güvenlik Ayarları^{(Security Settings)} > Yerel İlkeler^{(Local Policies)} > Denetim İlkesi^{(Audit Policy)} öğesini genişletin . Şimdi pencerenizi buna benzetmelisiniz:

3. Sağ bölmede, 9 Denetim…[]^(Audit…[]) ilkelerinin önceden tanımlanmış^{(pre-defined)} güvenlik ayarı olarak Denetim yok olduğunu görebilirsiniz. ^{(No auditing)}Tüm ilkeleri tek tek tıklayın ve Seçimi Başarı ve Başarısızlık olarak yapın , ^{(Click one)}Uygula'yı^(Success) ve ardından^(Failure) her ilke^{( Apply)} için Tamam'ı tıklayın .^(OK)

Bu şekilde, Windows'u^(Windows) kullanıcı etkinliğini izleyecek şekilde yapılandırmış olacağız.

İzlenen kayıtları almak için şu adımları izleyin:

Olay Görüntüleyiciyi Kullanarak Kullanıcı Etkinliğini İzleme^{(Trace User Activity Using Event Viewer)}

1. Windows Key + R kombinasyonuna  basın , Çalıştır^(Run)  iletişim kutusuna put eventvwr yazın ve ^(eventvwr)Event Viewer'ı^{(Event Viewer)} açmak için Enter'a^(Enter) basın .

2. Şimdi, Olay Görüntüleyici^{(Event Viewe)} penceresinde sol bölmeden Windows Günlükleri^{(Windows Logs)} > Güvenlik^(Security) öğesini seçin . Burada Windows, güvenlikle ilgili her olayın kaydını tutar.

3. Orta bölmeden, bilgilerini almak için herhangi bir olayı tıklayın:

Şimdi, çalışma grubu modundaki hesaplar için kullanıcı etkinliklerini kapsayan olay kimliklerinin listesi:^(IDs)

1. Kullanıcı Oluştur: Kullanıcı oluşturulduğunda^{(Create User:)} günlüğe alınan Olay Kimlikleri^{(Event IDs)} aşağıdadır .

• Olay Kimliği:^{(Event ID: )} 4728 | Tür:^{(Type: )} Denetim Başarılı | Kategori:^{(Category: )} Güvenlik Grubu Yönetimi | Açıklama:^{(Description: )} Güvenliğin etkin olduğu bir genel gruba bir üye eklendi.

• Olay Kimliği:^{(Event ID: )} 4720 | Tür:^{(Type: )} Denetim Başarılı | Kategori:^{(Category: )} Kullanıcı Hesabı Yönetimi | Açıklama:^{(Description: )} Bir Kullanıcı hesabı oluşturuldu.

• Olay Kimliği:^{(Event ID: )} 4722 | Tür:^{(Type: )} Denetim Başarılı | Kategori:^{(Category: )} Kullanıcı Hesabı Yönetimi | Açıklama:^{(Description: )} Bir Kullanıcı hesabı etkinleştirildi.

• Olay Kimliği:^{(Event ID: )} 4738 | Tür:^{(Type: )} Başarı Denetimi | Kategori:^{(Category: )} Kullanıcı Hesabı Yönetimi | Açıklama:^{(Description: )} Bir Kullanıcı hesabı değiştirildi.

• Olay Kimliği:^{(Event ID: )} 4732 | Tür:^{(Type: )} Başarı Denetimi | Kategori: ^{(Category: )} Güvenlik Grubu Yönetimi | Açıklama:^{(Description: )} Güvenliğin etkin olduğu bir yerel gruba bir üye eklendi.

2. Kullanıcıyı Sil: Kullanıcı^{(Delete User: )} silindiğinde günlüğe alınan Olay Kimlikleri^{(Event IDs)} aşağıdadır .

• Olay Kimliği:^{(Event ID: )} 4733 | Tür:^{(Type: )} Başarı Denetimi | Kategori: ^{(Category: )} Güvenlik Grubu Yönetimi | Açıklama:^{(Description: )} Güvenliğin etkin olduğu bir yerel gruptan bir üye kaldırıldı.

• Olay Kimliği:^{(Event ID: )} 4729 | Tür:^{(Type: )} Başarı Denetimi | Kategori: ^{(Category: )} Güvenlik Grubu Yönetimi | Açıklama:^{(Description: )} Güvenliğin etkin olduğu bir genel gruba bir üye eklendi.

• Olay Kimliği:^{(Event ID: )} 4726 | Tür:^{( Type: )} Başarı Denetimi | Kategori: ^{(Category: )} Kullanıcı Hesabı Yönetimi | Açıklama:^{(Description: )} Bir Kullanıcı hesabı silindi.

3. Kullanıcı Hesabı Devre Dışı:^{(User Account Disabled: )} Kullanıcı devre dışı bırakıldığında günlüğe alınan Olay Kimlikleri^{(Event IDs)} aşağıdadır .

• Olay Kimliği:^{(Event ID: )} 4725 | Tür:^{(Type: )} Başarı Denetimi | Kategori: ^{(Category: )} Kullanıcı Hesabı Yönetimi | Açıklama:^{(Description: )} Bir Kullanıcı hesabı devre dışı bırakıldı.

• Olay Kimliği:^{(Event ID: )} 4738 | Tür:^{(Type: )} Başarı Denetimi | Kategori: ^{(Category: )} Kullanıcı Hesabı Yönetimi | Açıklama:^{(Description: )} Bir Kullanıcı hesabı değiştirildi.

4. Kullanıcı Hesabı Etkinleştirildi: Kullanıcı^{(User Account Enabled: )} etkinleştirildiğinde günlüğe alınan Olay Kimlikleri^{(Event IDs)} aşağıdadır .

• Olay Kimliği:^{(Event ID: )} 4722 | Tür:^{(Type: )} Başarı Denetimi | Kategori: ^{(Category: )} Kullanıcı Hesabı Yönetimi | Açıklama:^{(Description: )} Bir Kullanıcı hesabı etkinleştirildi.

• Olay Kimliği:^{(Event ID: )} 4738 | Tür:^{(Type: )} Başarı Denetimi | Kategori: ^{(Category: )} Kullanıcı Hesabı Yönetimi | Açıklama:^{(Description: )} Bir Kullanıcı hesabı değiştirildi.

5. Kullanıcı Hesabı Parola Sıfırlama: ^{(User Account Password Reset: )}Kullanıcı Hesabı Parolası^{(User Account Password)} sıfırlandığında günlüğe alınan Olay Kimlikleri^{(Event IDs)} aşağıdadır .

• Olay Kimliği:^{(Event ID: )} 4738 | Tür:^{(Type: )} Başarı Denetimi | Kategori: ^{(Category: )} Kullanıcı Hesabı Yönetimi | Açıklama:^{(Description: )} Bir Kullanıcı hesabı değiştirildi.

• Olay Kimliği:^{(Event ID: )} 4724 | Tür:^{(Type: )} Başarı Denetimi | Kategori: ^{(Category: )} Kullanıcı Hesabı Yönetimi | Açıklama:^{(Description: )} Bir hesabın parolasını sıfırlama girişiminde bulunuldu.

6. Kullanıcı Hesabı Profil Yolu Seti: ^{(User Account Profile Path Set: )}Profil Yolu^{(Profile Path)} bir kullanıcı hesabı için ayarlandığında günlüğe alınan Olay Kimliği ^{(Event ID)}aşağıdadır .^(Below)

• Olay Kimliği:^{(Event ID: )} 4738 | Tür:^{(Type: )} Başarı Denetimi | Kategori: ^{(Category: )} Kullanıcı Hesabı Yönetimi | Açıklama:^{(Description: )} Bir Kullanıcı hesabı değiştirildi.

7. Kullanıcı Hesabını Yeniden Adlandır: Kullanıcı Hesabı yeniden adlandırıldığında ^{(User Account Rename: )}günlüğe^{(User Account)} alınan Olay Kimlikleri^{(Event IDs)} aşağıdadır .

•  Olay Kimliği:^{(Event ID: )} 4781 | Tür:^{(Type: )} Başarı Denetimi | Kategori: ^{(Category: )} Kullanıcı Hesabı Yönetimi | Açıklama:^{(Description: )} Bir hesabın adı değiştirildi.

• Olay Kimliği:^{(Event ID: )} 4738 | Type: Başarı Denetimi | Kategori: ^{(Category: )} Kullanıcı Hesabı Yönetimi | Açıklama:^{(Description: )} Bir Kullanıcı Hesabı değiştirildi.

8. Yerel Grup Oluştur: Yerel Grup oluşturulduğunda ^{(Create Local Group: )}günlüğe^{(Local Group)} alınan Olay Kimlikleri^{(Event IDs)} aşağıdadır .

• Olay Kimliği:^{(Event ID: )} 4731 | Tür:^{(Type: )} Başarı Denetimi | Kategori: ^{(Category: )} Güvenlik Grubu Yönetimi | Açıklama:^{(Description: )} Güvenliğin etkin olduğu bir yerel grup oluşturuldu

• Olay Kimliği:^{(Event ID: )} 4735 | Tür:^{(Type: )} Başarı Denetimi | Kategori: ^{(Category: )} Güvenlik Grubu Yönetimi | Açıklama:^{(Description: )} Güvenliğin etkin olduğu bir yerel grup değiştirildi

9. Kullanıcıyı Yerel Gruba Ekle: Kullanıcı ^{(Add User to Local Group: )}Yerel^(Local) gruba eklendiğinde günlüğe alınan Olay Kimliği ^{(Event ID)}aşağıdadır^(Below) .

• Olay Kimliği:^{(Event ID: )} 4732 | Tür:^{(Type: )} Başarı Denetimi | Kategori: ^{(Category: )} Güvenlik Grubu Yönetimi | Açıklama:^{(Description: )} Güvenliğin etkin olduğu bir yerel gruba bir üye eklendi

10. Kullanıcıyı Yerel Gruptan Kaldır: Kullanıcı ^{(Remove User from Local Group: )}Yerel^(Local) gruptan kaldırıldığında günlüğe alınan  Olay Kimliği ^{(Event ID)}aşağıdadır^(Below) .

• Olay Kimliği:^{(Event ID: )} 4733 | Tür:^(Type:) Başarı Denetimi | Kategori:^(Category:)  Güvenlik Grubu Yönetimi | Açıklama:^{(Description:)} Güvenliğin etkin olduğu bir yerel gruptan bir üye kaldırıldı

11. Yerel Grubu Sil: ^{(Delete Local Group: )}Yerel Grup^{(Local Group)} silindiğinde günlüğe alınan Olay Kimliği ^{(Event ID)}aşağıdadır .^(Below)

• Olay Kimliği:^{(Event ID: )} 4734 | Tür:^{(Type: )} Başarı Denetimi | Kategori: ^{(Category: )} Güvenlik Grubu Yönetimi | Açıklama:^{(Description: )} Güvenliğin etkin olduğu bir yerel grup silindi

12. Yerel Grubu Yeniden Adlandır:^{(Rename Local Group: )} Aşağıda, Yerel Grup^{(Local Group)} yeniden adlandırıldığında günlüğe alınan Olay Kimlikleri^{(Event IDs)} verilmiştir .

• Olay Kimliği:^{(Event ID: )} 4781 | Tür:^{(Type: )} Başarı Denetimi | Kategori: ^{(Category: )} Kullanıcı Hesabı Yönetimi | Açıklama:^{(Description: )} Bir hesabın adı değiştirildi

• Olay Kimliği:^{(Event ID: )} 4735 | Tür:^{(Type: )} Başarı Denetimi | Kategori: ^{(Category: )} Güvenlik Grubu Yönetimi | Açıklama:^{(Description: )} Güvenliğin etkin olduğu bir yerel grup değiştirildi

Bu sayede kullanıcıları aktiviteleri ile takip edebilirsiniz. Bu makale, Çalışma Grubu Modunda ^{(Workgroup Mode)}Windows 11/10/8.1 için geçerlidir . Active Directory Etki Alanı^{(Directory Domain)} için prosedür farklı olacaktır.

How to track User Activity in WorkGroup Mode on Windows 11/10

Multi-user functionality in Windows has enabled us to use it conveniently in public places like schools, colleges, offices, etc. At these places, there is generally an administrator, who manages to keep an eye on the activities of users working therein. Sometimes, users go beyond their limits and modify accounts configured in Workgroup mode. This can have security repercussions, and thus we should configure Windows to track down user activities.

By configuring Windows for monitoring user activities, we can increase the security of the administration and can also punish the victim users by observing their records in case of an offense. In this article, we’ll tell you the way to track user activities in Windows 11/10/8.1/8/7 using Audit Policy. Here is how:

Track User Activity using Audit Policy in WorkGroup Mode

1. Press Windows Key + R combination, type put secpol.msc in Run dialog box and hit Enter to open the Local Security Policy.

2. In the Local Security Policy window, expand Security Settings > Local Policies > Audit Policy. Now you should get your window resembled with this one:

3. In the right pane, you can see 9 Audit…[] policies have No auditing as pre-defined security setting. Click one by one all the policies and make the selection to Success and Failure, click Apply followed by OK for each policy.

In this way, we will have configured Windows to track down user activity.

Follow these steps to get the traced records:

Trace User Activity Using Event Viewer

1. Press Windows Key + R combination, type put eventvwr in Run dialog box and hit Enter to open the Event Viewer.

2. Now, in the Event Viewer window, from the left pane, select Windows Logs > Security. Here Windows keeps a record of every event concerning security.

3. From the center pane, click any event to get its info:

Now, here is the list of the event IDs which covers the user activities for the accounts in the workgroup mode:

1. Create User: Below are the Event IDs that get logged when the user is created.

• Event ID: 4728 | Type: Audit Success | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4720 | Type: Audit Success | Category: User Account Management | Description: A User account was created.

• Event ID: 4722 | Type: Audit Success | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group.

2. Delete User: Below are the Event IDs that get logged when the user is deleted.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group.

• Event ID: 4729 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4726 | Type: Success Audit | Category: User Account Management | Description: A User account was deleted.

3. User Account Disabled: Below are the Event IDs that get logged when the user is disabled.

• Event ID: 4725 | Type: Success Audit | Category: User Account Management | Description: A User account was disabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

4. User Account Enabled: Below are the Event IDs that get logged when the user is enabled.

• Event ID: 4722 | Type: Success Audit | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

5. User Account Password Reset: Below are the Event IDs that get logged when the User Account Password gets reset.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4724 | Type: Success Audit | Category: User Account Management | Description: An attempt was made to reset an account’s password.

6. User Account Profile Path Set: Below is the Event ID that gets logged when Profile Path gets set for a user account.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

7. User Account Rename: Below are the Event IDs that get logged when the User Account is renamed.

•  Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: The name of an account was changed.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User Account was changed.

8. Create Local Group: Below are the Event IDs that get logged when the Local Group is created.

• Event ID: 4731 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was created

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

9. Add User to Local Group: Below is the Event ID that gets logged when the user gets added to the Local group.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group

10. Remove User from Local Group: Below is the Event ID that gets logged when the user is removed from the Local group.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group

11. Delete Local Group: Below is the Event ID that gets logged when the Local Group is deleted.

• Event ID: 4734 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was deleted

12. Rename Local Group: Below are the Event IDs that get logged when the Local Group is renamed.

• Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: A name of an account was changed

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

In this way, you can trace users with their activities. This article is applicable for Windows 11/10/8.1 in Workgroup Mode. For Active Directory Domain, the procedure will be different.

Related posts

• Delete eski kullanıcı profilleri ve dosyaları otomatik olarak Windows 10'de otomatik olarak

• Group Policy Editor için Windows 10 Home Edition nasıl eklenir

• Windows 10'de Win32 Long Paths'yı nasıl etkinleştirilir veya devre dışı bırakılır

• Picture Password Sign-In option Windows 10'de Nasıl Devre Dışı Bırakılır

• Minimum and Maximum PIN length Windows 10'de nasıl belirtilir?

• Startup üzerinde ön yükleme Microsoft Edge gelen Stop Windows 10

• Windows 10'de Nasıl Etkinleştirilir veya Disable or Application Isolation feature

• Windows Updates'da Windows 10'te Windows Updates'i yükleyebilir misiniz?

• Update installation için otomatik olarak yeniden başlatılmadan önce son tarih nasıl belirtilir?

• Create desktop Switch User Accounts Kısayolu Windows 11/10

• Windows 10'te Import or Export Group Policy settings Nasıl Yapılır

• Customize Ctrl+Alt+Del Screen Windows içinde Group Policy or Registry kullanarak

• Windows 10'de Fast Logon Optimization'yi etkinleştirin veya devre dışı bırakın

• dependency Service or Group Windows 10'de başlayamadı

• Create Local Administrator Account Windows 10'da CMD'u kullanma

• Group Policy Update Windows 10'da nasıl zorlanır?

• Delivery Optimization'yı Group Policy or Registry Editor üzerinden devre dışı bırakın

• Nasıl Önlemek Kullanıcılarına Windows 10 içinde Diagnostic Data silmesini

• Etkinleştir, Autocorrect and Highlight Misspelled Words'ü devre dışı bırak - Windows 10

• Group Policy Non-Administrators'a yalnızca Windows 10'da nasıl uygulanır?