Windows11/10でワークグループモードでユーザーアクティビティを追跡する方法

Windowsのマルチユーザー機能により、学校、大学、オフィスなどの公共の場所で便利に使用できるようになりました。これらの場所には、一般に、そこで作業するユーザーのアクティビティを監視する管理者がいます。場合によっては、ユーザーが制限を超えて、ワークグループ(Workgroup)モードで構成されたアカウントを変更することがあります。これはセキュリティに影響を与える可能性があるため、ユーザーアクティビティを追跡するようにWindowsを構成する必要があります。(Windows)

ユーザーのアクティビティを監視するようにWindowsを構成することで、管理のセキュリティを強化し、違反が発生した場合に被害者の記録を監視して被害者のユーザーを罰することもできます。この記事では、監査ポリシーを使用してWindows 11/10/8.1/8/7方法は次のとおりです。

(Track User Activity)ワークグループモード(WorkGroup Mode)で監査ポリシーを使用してユーザーアクティビティを追跡する

1.Windows(1.)Windows Key + Rの組み合わせを押し、[ファイル名を指定して実行(Run) ]ダイアログボックスに「 putsecpol.msc 」と入力し、 (secpol.msc)Enterキーを押して(Enter)ローカルセキュリティポリシー(Local Security Policy)を開きます。

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode

2. [ローカルセキュリティポリシー(Local Security Policy)]ウィンドウで、[セキュリティ設定](Security Settings) >[ローカルポリシー(Local Policies)] >[監査(Audit Policy)ポリシー]を展開します。これで、ウィンドウが次のようになります。

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode-2

3.右側のペインに、9つの(9) 監査…[](Audit…[])ポリシーに事前定義され(pre-defined)たセキュリティ設定として監査がないことが表示されます。(No auditing)すべてのポリシーを1つずつクリックし、[(Click one)成功(Success)失敗]を選択し、[(Failure)適用]、[ ( Apply)OK ]の順にクリックします。

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode-3

このようにして、ユーザーアクティビティを追跡するようにWindowsを構成します。(Windows)

トレースされたレコードを取得するには、次の手順に従います。

イベントビューアを使用してユーザーアクティビティをトレースする(Trace User Activity Using Event Viewer)

1.Windows(1.)Windows Key + Rの組み合わせを 押し、[ファイル名を指定して実行(Run) ]ダイアログボックスに「 puteventvwr 」と入力し、 (eventvwr)Enterキーを押して(Enter)イベントビューア(Event Viewer)を開きます。

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode-4

2.次に、[イベントビュー](Event Viewe)ウィンドウの左側のウィンドウで、[ Windowsログ(Windows Logs)] >[セキュリティ(Security)]を選択します。ここで、Windowsはセキュリティに関するすべてのイベントの記録を保持します。

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode-5

3.中央のペインで、任意のイベントをクリックして情報を取得します。

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode-6

ここで、ワークグループモードのアカウントのユーザーアクティビティをカバーするイベントIDのリストを示します。(IDs)

1.ユーザーの作成:(Create User:)以下は、ユーザーの作成時にログに記録されるイベントID(Event IDs)です。

  • イベントID:(Event ID: ) 4728 | タイプ:(Type: )監査の成功| カテゴリ:(Category: )セキュリティグループ管理| 説明:(Description: )セキュリティが有効なグローバルグループにメンバーが追加されました。
  • イベントID:(Event ID: ) 4720 | タイプ:(Type: )監査の成功| カテゴリ:(Category: )ユーザーアカウント管理| 説明:(Description: )ユーザーアカウントが作成されました。
  • イベントID:(Event ID: ) 4722 | タイプ:(Type: )監査の成功| カテゴリ:(Category: )ユーザーアカウント管理| 説明:(Description: )ユーザーアカウントが有効になりました。
  • イベントID:(Event ID: ) 4738 | タイプ:(Type: )成功監査| カテゴリ:(Category: )ユーザーアカウント管理| 説明:(Description: )ユーザーアカウントが変更されました。
  • イベントID:(Event ID: ) 4732 | タイプ:(Type: )成功監査| カテゴリ: (Category: )セキュリティグループ管理| 説明:(Description: )セキュリティが有効なローカルグループにメンバーが追加されました。

2.ユーザーの削除:(Delete User: )以下は、ユーザーが削除されたときにログに記録されるイベントIDです。(Event IDs)

  • イベントID:(Event ID: ) 4733 | タイプ:(Type: )成功監査| カテゴリ: (Category: )セキュリティグループ管理| 説明:(Description: )セキュリティが有効なローカルグループからメンバーが削除されました。
  • イベントID:(Event ID: ) 4729 | タイプ:(Type: )成功監査| カテゴリ: (Category: )セキュリティグループ管理| 説明:(Description: )セキュリティが有効なグローバルグループにメンバーが追加されました。
  • イベントID:(Event ID: ) 4726 | タイプ:( Type: )成功監査| カテゴリ: (Category: )ユーザーアカウント管理| 説明:(Description: )ユーザーアカウントが削除されました。

3.無効になっているユーザーアカウント:(User Account Disabled: )以下は、ユーザーが無効になっているときにログに記録されるイベントIDです。(Event IDs)

  • イベントID:(Event ID: ) 4725 | タイプ:(Type: )成功監査| カテゴリ: (Category: )ユーザーアカウント管理| 説明:(Description: )ユーザーアカウントが無効になりました。
  • イベントID:(Event ID: ) 4738 | タイプ:(Type: )成功監査| カテゴリ: (Category: )ユーザーアカウント管理| 説明:(Description: )ユーザーアカウントが変更されました。

4.有効なユーザーアカウント:(User Account Enabled: )以下は、ユーザーが有効になったときにログに記録されるイベントIDです。(Event IDs)

  • イベントID:(Event ID: ) 4722 | タイプ:(Type: )成功監査| カテゴリ: (Category: )ユーザーアカウント管理| 説明:(Description: )ユーザーアカウントが有効になりました。
  • イベントID:(Event ID: ) 4738 | タイプ:(Type: )成功監査| カテゴリ: (Category: )ユーザーアカウント管理| 説明:(Description: )ユーザーアカウントが変更されました。

5.ユーザーアカウントパスワードのリセット:(User Account Password Reset: )以下は、ユーザーアカウントパスワード(User Account Password)がリセットされたときにログに記録されるイベントID(Event IDs)です。

  • イベントID:(Event ID: ) 4738 | タイプ:(Type: )成功監査| カテゴリ: (Category: )ユーザーアカウント管理| 説明:(Description: )ユーザーアカウントが変更されました。
  • イベントID:(Event ID: ) 4724 | タイプ:(Type: )成功監査| カテゴリ: (Category: )ユーザーアカウント管理| 説明:(Description: )アカウントのパスワードをリセットしようとしました。

6.ユーザーアカウントプロファイルパスセット:(User Account Profile Path Set: )以下(Below)は、プロファイルパス(Profile Path)がユーザーアカウントに設定されたときにログに記録されるイベントID(Event ID)です。

  • イベントID:(Event ID: ) 4738 | タイプ:(Type: )成功監査| カテゴリ: (Category: )ユーザーアカウント管理| 説明:(Description: )ユーザーアカウントが変更されました。

7.ユーザーアカウントの名前変更:(User Account Rename: )以下は、ユーザー(User Account)アカウントの名前が変更されたときにログに記録されるイベントID(Event IDs)です。

  •  イベントID:(Event ID: ) 4781 | タイプ:(Type: )成功監査| カテゴリ: (Category: )ユーザーアカウント管理| 説明:(Description: )アカウントの名前が変更されました。
  • イベントID:(Event ID: ) 4738 | Type: 成功監査| カテゴリ: (Category: )ユーザーアカウント管理| 説明:(Description: )ユーザーアカウントが変更されました。

8.ローカルグループの作成:(Create Local Group: )以下は、ローカルグループ(Local Group)の作成時にログに記録されるイベントID(Event IDs)です。

  • イベントID:(Event ID: ) 4731 | タイプ:(Type: )成功監査| カテゴリ: (Category: )セキュリティグループ管理| 説明:(Description: )セキュリティが有効なローカルグループが作成されました
  • イベントID:(Event ID: ) 4735 | タイプ:(Type: )成功監査| カテゴリ: (Category: )セキュリティグループ管理| 説明:(Description: )セキュリティが有効なローカルグループが変更されました

9.ローカルグループへのユーザーの追加:(Add User to Local Group: )以下(Below)は、ユーザーがローカル(Local)グループに追加されたときにログに記録されるイベントID(Event ID)です。

  • イベントID:(Event ID: ) 4732 | タイプ:(Type: )成功監査| カテゴリ: (Category: )セキュリティグループ管理| 説明:(Description: )セキュリティが有効なローカルグループにメンバーが追加されました

10.ローカルグループからのユーザーの削除:(Remove User from Local Group: )以下(Below)は、 ユーザーがローカル(Local)グループから削除されたときにログに記録されるイベントID(Event ID)です。

  • イベントID:(Event ID: ) 4733 | タイプ:(Type:)成功監査| カテゴリ:(Category:) セキュリティグループ管理| 説明:(Description:)セキュリティが有効なローカルグループからメンバーが削除されました

11.ローカルグループの削除:(Delete Local Group: )以下(Below)は、ローカルグループ(Local Group)が削除されたときにログに記録されるイベントIDです。(Event ID)

  • イベントID:(Event ID: ) 4734 | タイプ:(Type: )成功監査| カテゴリ: (Category: )セキュリティグループ管理| 説明:(Description: )セキュリティが有効なローカルグループが削除されました

12.ローカルグループの名前の変更(Rename Local Group: )以下は、ローカル(Local Group)グループの名前が変更されたときにログに記録されるイベントID(Event IDs)です。

  • イベントID:(Event ID: ) 4781 | タイプ:(Type: )成功監査| カテゴリ: (Category: )ユーザーアカウント管理| 説明:(Description: )アカウントの名前が変更されました
  • イベントID:(Event ID: ) 4735 | タイプ:(Type: )成功監査| カテゴリ: (Category: )セキュリティグループ管理| 説明:(Description: )セキュリティが有効なローカルグループが変更されました

このようにして、ユーザーのアクティビティを追跡できます。この記事は、ワークグループモードの(Workgroup Mode)Windows 11/10/8.1に適用されます。Active Directoryドメイン(Directory Domain)の場合、手順は異なります。



About the author

私は、Windows 11 または 10 アプリケーションの開発と保守に 10 年以上の経験を持つソフトウェア エンジニアです。また、Google ドキュメントと Microsoft Edge の使用経験もあります。これらの分野での私のスキルは、将来のソフトウェア エンジニアリングの役割の優れた候補者になります。



Related posts