Windows의 다중 사용자 기능 학교, 대학, 사무실 등과 같은 공공 장소에서 편리하게 사용할 수 있게 해주었습니다. 이러한 장소에는 일반적으로 관리자가 있으며 그곳에서 작업하는 사용자의 활동을 주시합니다. 때때로 사용자는 한계를 넘어 작업 그룹 모드에서 구성된 계정을 수정합니다. 이는 보안에 영향을 줄 수 있으므로 Windows를 구성해야 합니다. 사용자 활동을 추적합니다.
사용자 활동을 모니터링하도록 Windows를 구성함으로써 관리의 보안을 강화할 수 있으며 위반 시 기록을 관찰하여 피해자 사용자를 처벌할 수도 있습니다. 이 문서에서는 Windows 11/10/8.1/8/7에서 사용자 활동을 추적하는 방법을 알려 드리겠습니다. 감사 정책을 사용합니다. 방법은 다음과 같습니다.
작업 그룹 모드에서 감사 정책을 사용하여 사용자 활동 추적
1. Windows 키 + R 누르기 조합, 입력 secpol.msc 실행에서 대화 상자에서 Enter 키를 누르십시오. 로컬 보안 정책 열기 .
2. 로컬 보안 정책에서 창에서 보안 설정 확장> 현지 정책> 감사 정책 . 이제 다음과 유사한 창이 나타납니다.
3. 오른쪽 창에서 9를 볼 수 있습니다. 감사…[] 정책에 감사가 없음이 있습니다. 사전 정의된 보안 설정. 모든 정책을 하나씩 클릭하고 성공을 선택합니다. 및 실패 , 적용 클릭 뒤에 확인 각 정책에 대해.
이러한 방식으로 사용자 활동을 추적하도록 Windows를 구성할 것입니다.
추적 기록을 가져오려면 다음 단계를 따르세요.
이벤트 뷰어를 사용하여 사용자 활동 추적
1. Windows 키 + R 누르기 조합, put eventvwr 입력 실행에서 대화 상자에서 Enter 키를 누르십시오. 이벤트 뷰어 열기 .
2. 이제 이벤트 보기에서 r 창의 왼쪽 창에서 Windows 로그를 선택합니다.> 보안 . 여기에서 Windows는 보안과 관련된 모든 이벤트를 기록합니다.
3. 가운데 창에서 이벤트를 클릭하여 해당 정보를 가져옵니다.
이제 다음은 작업 그룹 모드에서 계정에 대한 사용자 활동을 포함하는 이벤트 ID 목록입니다.
1. 사용자 생성: 다음은 사용자가 생성될 때 기록되는 이벤트 ID입니다.
- 이벤트 ID: 4728 | 유형: 감사 성공 | 카테고리: 보안 그룹 관리 | 설명: 보안이 활성화된 글로벌 그룹에 구성원이 추가되었습니다.
- 이벤트 ID: 4720 | 유형: 감사 성공 | 카테고리: 사용자 계정 관리 | 설명: 사용자 계정이 생성되었습니다.
- 이벤트 ID: 4722 | 유형: 감사 성공 | 카테고리: 사용자 계정 관리 | 설명: 사용자 계정이 활성화되었습니다.
- 이벤트 ID: 4738 | 유형: 성공 감사 | 카테고리: 사용자 계정 관리 | 설명: 사용자 계정이 변경되었습니다.
- 이벤트 ID: 4732 | 유형: 성공 감사 | 카테고리: 보안 그룹 관리 | 설명: 보안이 활성화된 로컬 그룹에 구성원이 추가되었습니다.
2. 사용자 삭제: 다음은 사용자가 삭제될 때 기록되는 이벤트 ID입니다.
- 이벤트 ID: 4733 | 유형: 성공 감사 | 카테고리: 보안 그룹 관리 | 설명: 보안이 활성화된 로컬 그룹에서 구성원이 제거되었습니다.
- 이벤트 ID: 4729 | 유형: 성공 감사 | 카테고리: 보안 그룹 관리 | 설명: 보안이 활성화된 글로벌 그룹에 회원이 추가되었습니다.
- 이벤트 ID: 4726 | 유형: 성공 감사 | 카테고리: 사용자 계정 관리 | 설명: 사용자 계정이 삭제되었습니다.
3. 사용자 계정 비활성화: 다음은 사용자가 비활성화되었을 때 기록되는 이벤트 ID입니다.
- 이벤트 ID: 4725 | 유형: 성공 감사 | 카테고리: 사용자 계정 관리 | 설명: 사용자 계정이 비활성화되었습니다.
- 이벤트 ID: 4738 | 유형: 성공 감사 | 카테고리: 사용자 계정 관리 | 설명: 사용자 계정이 변경되었습니다.
4. 활성화된 사용자 계정: 다음은 사용자가 활성화되었을 때 기록되는 이벤트 ID입니다.
- 이벤트 ID: 4722 | 유형: 성공 감사 | 카테고리: 사용자 계정 관리 | 설명: 사용자 계정이 활성화되었습니다.
- 이벤트 ID: 4738 | 유형: 성공 감사 | 카테고리: 사용자 계정 관리 | 설명: 사용자 계정이 변경되었습니다.
5. 사용자 계정 비밀번호 재설정: 다음은 사용자 계정 비밀번호가 재설정될 때 기록되는 이벤트 ID입니다.
- 이벤트 ID: 4738 | 유형: 성공 감사 | 카테고리: 사용자 계정 관리 | 설명: 사용자 계정이 변경되었습니다.
- 이벤트 ID: 4724 | 유형: 성공 감사 | 카테고리: 사용자 계정 관리 | 설명: 계정의 비밀번호를 재설정하려고 했습니다.
6. 사용자 계정 프로필 경로 설정: 다음은 사용자 계정에 대해 프로필 경로가 설정될 때 기록되는 이벤트 ID입니다.
- 이벤트 ID: 4738 | 유형: 성공 감사 | 카테고리: 사용자 계정 관리 | 설명: 사용자 계정이 변경되었습니다.
7. 사용자 계정 이름 변경: 다음은 사용자 계정의 이름을 변경할 때 기록되는 이벤트 ID입니다.
- 이벤트 ID: 4781 | 유형: 성공 감사 | 카테고리: 사용자 계정 관리 | 설명: 계정 이름이 변경되었습니다.
- 이벤트 ID: 4738 | 유형: 성공 감사 | 카테고리: 사용자 계정 관리 | 설명: 사용자 계정이 변경되었습니다.
8. 로컬 그룹 만들기: 다음은 로컬 그룹이 생성될 때 기록되는 이벤트 ID입니다.
- 이벤트 ID: 4731 | 유형: 성공 감사 | 카테고리: 보안 그룹 관리 | 설명: 보안이 활성화된 로컬 그룹이 생성되었습니다.
- 이벤트 ID: 4735 | 유형: 성공 감사 | 카테고리: 보안 그룹 관리 | 설명: 보안이 활성화된 로컬 그룹이 변경되었습니다.
9. 로컬 그룹에 사용자 추가: 다음은 사용자가 로컬 그룹에 추가될 때 기록되는 이벤트 ID입니다.
- 이벤트 ID: 4732 | 유형: 성공 감사 | 카테고리: 보안 그룹 관리 | 설명: 보안이 활성화된 로컬 그룹에 구성원이 추가되었습니다.
10. 로컬 그룹에서 사용자 제거: 다음은 사용자가 로컬 그룹에서 제거될 때 기록되는 이벤트 ID입니다.
- 이벤트 ID: 4733 | 유형: 성공 감사 | 카테고리: 보안 그룹 관리 | 설명: 보안이 활성화된 로컬 그룹에서 회원이 삭제되었습니다.
11. 로컬 그룹 삭제: 다음은 로컬 그룹 삭제 시 기록되는 이벤트 ID입니다.
- 이벤트 ID: 4734 | 유형: 성공 감사 | 카테고리: 보안 그룹 관리 | 설명: 보안이 활성화된 로컬 그룹이 삭제되었습니다.
12. 로컬 그룹 이름 변경: 다음은 로컬 그룹의 이름을 변경할 때 기록되는 이벤트 ID입니다.
- 이벤트 ID: 4781 | 유형: 성공 감사 | 카테고리: 사용자 계정 관리 | 설명: 계정 이름이 변경됨
- 이벤트 ID: 4735 | 유형: 성공 감사 | 카테고리: 보안 그룹 관리 | 설명: 보안이 활성화된 로컬 그룹이 변경됨
이러한 방식으로 사용자의 활동을 추적할 수 있습니다. 이 문서는 작업 그룹 모드의 Windows 11/10/8.1에 적용됩니다. Active Directory 도메인의 경우 절차가 다릅니다.