Windows11/10でワークグループモードでユーザーアクティビティを追跡する方法
Windowsのマルチユーザー機能により、学校、大学、オフィスなどの公共の場所で便利に使用できるようになりました。これらの場所には、一般に、そこで作業するユーザーのアクティビティを監視する管理者がいます。場合によっては、ユーザーが制限を超えて、ワークグループ(Workgroup)モードで構成されたアカウントを変更することがあります。これはセキュリティに影響を与える可能性があるため、ユーザーアクティビティを追跡するようにWindowsを構成する必要があります。(Windows)
ユーザーのアクティビティを監視するようにWindowsを構成することで、管理のセキュリティを強化し、違反が発生した場合に被害者の記録を監視して被害者のユーザーを罰することもできます。この記事では、監査ポリシーを使用してWindows 11/10/8.1/8/7方法は次のとおりです。
(Track User Activity)ワークグループモード(WorkGroup Mode)で監査ポリシーを使用してユーザーアクティビティを追跡する
1.Windows(1.)Windows Key + Rの組み合わせを押し、[ファイル名を指定して実行(Run) ]ダイアログボックスに「 putsecpol.msc 」と入力し、 (secpol.msc)Enterキーを押して(Enter)ローカルセキュリティポリシー(Local Security Policy)を開きます。
2. [ローカルセキュリティポリシー(Local Security Policy)]ウィンドウで、[セキュリティ設定](Security Settings) >[ローカルポリシー(Local Policies)] >[監査(Audit Policy)ポリシー]を展開します。これで、ウィンドウが次のようになります。
3.右側のペインに、9つの(9) 監査…[](Audit…[])ポリシーに事前定義され(pre-defined)たセキュリティ設定として監査がないことが表示されます。(No auditing)すべてのポリシーを1つずつクリックし、[(Click one)成功(Success)と失敗]を選択し、[(Failure)適用]、[ ( Apply)OK ]の順にクリックします。
このようにして、ユーザーアクティビティを追跡するようにWindowsを構成します。(Windows)
トレースされたレコードを取得するには、次の手順に従います。
イベントビューアを使用してユーザーアクティビティをトレースする(Trace User Activity Using Event Viewer)
1.Windows(1.)Windows Key + Rの組み合わせを 押し、[ファイル名を指定して実行(Run) ]ダイアログボックスに「 puteventvwr 」と入力し、 (eventvwr)Enterキーを押して(Enter)イベントビューア(Event Viewer)を開きます。
2.次に、[イベントビュー](Event Viewe)ウィンドウの左側のウィンドウで、[ Windowsログ(Windows Logs)] >[セキュリティ(Security)]を選択します。ここで、Windowsはセキュリティに関するすべてのイベントの記録を保持します。
3.中央のペインで、任意のイベントをクリックして情報を取得します。
ここで、ワークグループモードのアカウントのユーザーアクティビティをカバーするイベントIDのリストを示します。(IDs)
1.ユーザーの作成:(Create User:)以下は、ユーザーの作成時にログに記録されるイベントID(Event IDs)です。
- イベントID:(Event ID: ) 4728 | タイプ:(Type: )監査の成功| カテゴリ:(Category: )セキュリティグループ管理| 説明:(Description: )セキュリティが有効なグローバルグループにメンバーが追加されました。
- イベントID:(Event ID: ) 4720 | タイプ:(Type: )監査の成功| カテゴリ:(Category: )ユーザーアカウント管理| 説明:(Description: )ユーザーアカウントが作成されました。
- イベントID:(Event ID: ) 4722 | タイプ:(Type: )監査の成功| カテゴリ:(Category: )ユーザーアカウント管理| 説明:(Description: )ユーザーアカウントが有効になりました。
- イベントID:(Event ID: ) 4738 | タイプ:(Type: )成功監査| カテゴリ:(Category: )ユーザーアカウント管理| 説明:(Description: )ユーザーアカウントが変更されました。
- イベントID:(Event ID: ) 4732 | タイプ:(Type: )成功監査| カテゴリ: (Category: )セキュリティグループ管理| 説明:(Description: )セキュリティが有効なローカルグループにメンバーが追加されました。
2.ユーザーの削除:(Delete User: )以下は、ユーザーが削除されたときにログに記録されるイベントIDです。(Event IDs)
- イベントID:(Event ID: ) 4733 | タイプ:(Type: )成功監査| カテゴリ: (Category: )セキュリティグループ管理| 説明:(Description: )セキュリティが有効なローカルグループからメンバーが削除されました。
- イベントID:(Event ID: ) 4729 | タイプ:(Type: )成功監査| カテゴリ: (Category: )セキュリティグループ管理| 説明:(Description: )セキュリティが有効なグローバルグループにメンバーが追加されました。
- イベントID:(Event ID: ) 4726 | タイプ:( Type: )成功監査| カテゴリ: (Category: )ユーザーアカウント管理| 説明:(Description: )ユーザーアカウントが削除されました。
3.無効になっているユーザーアカウント:(User Account Disabled: )以下は、ユーザーが無効になっているときにログに記録されるイベントIDです。(Event IDs)
- イベントID:(Event ID: ) 4725 | タイプ:(Type: )成功監査| カテゴリ: (Category: )ユーザーアカウント管理| 説明:(Description: )ユーザーアカウントが無効になりました。
- イベントID:(Event ID: ) 4738 | タイプ:(Type: )成功監査| カテゴリ: (Category: )ユーザーアカウント管理| 説明:(Description: )ユーザーアカウントが変更されました。
4.有効なユーザーアカウント:(User Account Enabled: )以下は、ユーザーが有効になったときにログに記録されるイベントIDです。(Event IDs)
- イベントID:(Event ID: ) 4722 | タイプ:(Type: )成功監査| カテゴリ: (Category: )ユーザーアカウント管理| 説明:(Description: )ユーザーアカウントが有効になりました。
- イベントID:(Event ID: ) 4738 | タイプ:(Type: )成功監査| カテゴリ: (Category: )ユーザーアカウント管理| 説明:(Description: )ユーザーアカウントが変更されました。
5.ユーザーアカウントパスワードのリセット:(User Account Password Reset: )以下は、ユーザーアカウントパスワード(User Account Password)がリセットされたときにログに記録されるイベントID(Event IDs)です。
- イベントID:(Event ID: ) 4738 | タイプ:(Type: )成功監査| カテゴリ: (Category: )ユーザーアカウント管理| 説明:(Description: )ユーザーアカウントが変更されました。
- イベントID:(Event ID: ) 4724 | タイプ:(Type: )成功監査| カテゴリ: (Category: )ユーザーアカウント管理| 説明:(Description: )アカウントのパスワードをリセットしようとしました。
6.ユーザーアカウントプロファイルパスセット:(User Account Profile Path Set: )以下(Below)は、プロファイルパス(Profile Path)がユーザーアカウントに設定されたときにログに記録されるイベントID(Event ID)です。
- イベントID:(Event ID: ) 4738 | タイプ:(Type: )成功監査| カテゴリ: (Category: )ユーザーアカウント管理| 説明:(Description: )ユーザーアカウントが変更されました。
7.ユーザーアカウントの名前変更:(User Account Rename: )以下は、ユーザー(User Account)アカウントの名前が変更されたときにログに記録されるイベントID(Event IDs)です。
- イベントID:(Event ID: ) 4781 | タイプ:(Type: )成功監査| カテゴリ: (Category: )ユーザーアカウント管理| 説明:(Description: )アカウントの名前が変更されました。
- イベントID:(Event ID: ) 4738 | Type: 成功監査| カテゴリ: (Category: )ユーザーアカウント管理| 説明:(Description: )ユーザーアカウントが変更されました。
8.ローカルグループの作成:(Create Local Group: )以下は、ローカルグループ(Local Group)の作成時にログに記録されるイベントID(Event IDs)です。
- イベントID:(Event ID: ) 4731 | タイプ:(Type: )成功監査| カテゴリ: (Category: )セキュリティグループ管理| 説明:(Description: )セキュリティが有効なローカルグループが作成されました
- イベントID:(Event ID: ) 4735 | タイプ:(Type: )成功監査| カテゴリ: (Category: )セキュリティグループ管理| 説明:(Description: )セキュリティが有効なローカルグループが変更されました
9.ローカルグループへのユーザーの追加:(Add User to Local Group: )以下(Below)は、ユーザーがローカル(Local)グループに追加されたときにログに記録されるイベントID(Event ID)です。
- イベントID:(Event ID: ) 4732 | タイプ:(Type: )成功監査| カテゴリ: (Category: )セキュリティグループ管理| 説明:(Description: )セキュリティが有効なローカルグループにメンバーが追加されました
10.ローカルグループからのユーザーの削除:(Remove User from Local Group: )以下(Below)は、 ユーザーがローカル(Local)グループから削除されたときにログに記録されるイベントID(Event ID)です。
- イベントID:(Event ID: ) 4733 | タイプ:(Type:)成功監査| カテゴリ:(Category:) セキュリティグループ管理| 説明:(Description:)セキュリティが有効なローカルグループからメンバーが削除されました
11.ローカルグループの削除:(Delete Local Group: )以下(Below)は、ローカルグループ(Local Group)が削除されたときにログに記録されるイベントIDです。(Event ID)
- イベントID:(Event ID: ) 4734 | タイプ:(Type: )成功監査| カテゴリ: (Category: )セキュリティグループ管理| 説明:(Description: )セキュリティが有効なローカルグループが削除されました
12.ローカルグループの名前の変更:(Rename Local Group: )以下は、ローカル(Local Group)グループの名前が変更されたときにログに記録されるイベントID(Event IDs)です。
- イベントID:(Event ID: ) 4781 | タイプ:(Type: )成功監査| カテゴリ: (Category: )ユーザーアカウント管理| 説明:(Description: )アカウントの名前が変更されました
- イベントID:(Event ID: ) 4735 | タイプ:(Type: )成功監査| カテゴリ: (Category: )セキュリティグループ管理| 説明:(Description: )セキュリティが有効なローカルグループが変更されました
このようにして、ユーザーのアクティビティを追跡できます。この記事は、ワークグループモードの(Workgroup Mode)Windows 11/10/8.1に適用されます。Active Directoryドメイン(Directory Domain)の場合、手順は異なります。
Related posts
Delete古いユーザープロファイルとWindows 10で自動的にファイル
Group Policy EditorをWindows 10 Home Editionに追加する方法
Windows 10でWin32 Long Pathsを有効または無効にする方法
Windows 10でPicture Password Sign-In optionを無効にする方法
Windows 10でMinimum and Maximum PIN lengthを指定する方法
Windows 10のImport or Export Group Policy settingsの方法
Windows Updatesの場合はDelivery Optimization Cache Driveを変更してください
Customize Ctrl+Alt+Del Screen WindowsでGroup Policy or Registryを使用する
Windows 10の場合はGroup Policy Settings Reference Guide
Windows 10のGroup Policyを使用して、IEからMicrosoft Edgeへのリダイレクト・サイト
Group Policy editor(gpedit.msc)のインストール方法
Windows 11/10でLayered Group Policyを適用する方法
Windows 10のインポート、Export、Repair、Restore Default Firewall Policy
Turn Windows 11/10のFile Explorerの最近の検索項目の表示
dependency Service or GroupはWindows 10で開始できませんでした
Limit Reservable Bandwidth Setting Windows 10
Windows 10ですべてのTaskbar設定をロックする方法
Group Policy Registry Location Windows 10
PowerShellを使ってWindows 10を使ってLocal User Accountを作成する方法
Group Policy Client serviceはWindows 11/10のログオンに失敗しました