La funcionalidad multiusuario de Windows nos ha permitido usarlo convenientemente en lugares públicos como escuelas, colegios, oficinas, etc. En estos lugares, generalmente hay un administrador, que se las arregla para vigilar las actividades de los usuarios que trabajan allí. A veces, los usuarios van más allá de sus límites y modifican las cuentas configuradas en modo Grupo de trabajo^(Workgroup) . Esto puede tener repercusiones en la seguridad y, por lo tanto, debemos configurar Windows para rastrear las actividades de los usuarios.

Al configurar Windows para monitorear las actividades de los usuarios, podemos aumentar la seguridad de la administración y también podemos castigar a los usuarios víctimas observando sus registros en caso de una infracción. En este artículo, le indicaremos la forma de realizar un seguimiento de las actividades de los usuarios en Windows 11/10/8.1/8/7 mediante la política de auditoría. Aquí es cómo:

Realice un seguimiento de la actividad del usuario^{(Track User Activity)} mediante la política de auditoría en el modo de grupo de trabajo^{(WorkGroup Mode)}

1. Presione la combinación de Windows Key + R , escriba put secpol.msc en el  cuadro de diálogo Ejecutar y presione ^(Run)Entrar^(Enter) para abrir la Política de seguridad local^{(Local Security Policy)} .

2. En la ventana Política de seguridad local , expanda ^{(Local Security Policy)}Configuración de seguridad^{(Security Settings)} > Políticas locales^{(Local Policies)} > Política de auditoría^{(Audit Policy)} . Ahora deberías hacer que tu ventana se asemeje a esta:

3. En el panel derecho, puede ver 9 políticas de Auditoría…[] tienen ^(Audit…[])Sin auditoría^{(No auditing)} como configuración de seguridad predefinida . ^{(pre-defined)}Haga clic una^{(Click one)} por una en todas las políticas y seleccione Éxito^(Success) y Fallo^(Failure) , haga clic en Aplicar^{( Apply)} seguido de Aceptar^(OK) para cada política.

De esta forma habremos configurado Windows para rastrear la actividad de los usuarios.

Siga estos pasos para obtener los registros rastreados:

Seguimiento de la actividad del usuario mediante el visor de eventos^{(Trace User Activity Using Event Viewer)}

1. Presione la combinación de Windows Key + R , escriba put  eventvwr en el  cuadro de diálogo Ejecutar y presione ^(Run)Entrar^(Enter) para abrir el Visor de eventos^{(Event Viewer)} .

2. Ahora, en la ventana Visor de eventos^{(Event Viewe)} , desde el panel izquierdo, seleccione Registros de Windows^{(Windows Logs)} > Seguridad^(Security) . Aquí Windows mantiene un registro de todos los eventos relacionados con la seguridad.

3. Desde el panel central, haga clic en cualquier evento para obtener su información:

Ahora, aquí está la lista de ID^(IDs) de eventos que cubre las actividades de los usuarios para las cuentas en el modo de grupo de trabajo:

1. Crear usuario:^{(Create User:)} a continuación se encuentran los ID de eventos^{(Event IDs)} que se registran cuando se crea el usuario.

• Identificador de evento:^{(Event ID: )} 4728 | Tipo:^{(Type: )} Éxito de auditoría | Categoría:^{(Category: )} Gestión de grupos de seguridad | Descripción:^{(Description: )} se agregó un miembro a un grupo global con seguridad habilitada.

• Identificador de evento:^{(Event ID: )} 4720 | Tipo:^{(Type: )} Éxito de auditoría | Categoría:^{(Category: )} Gestión de cuentas de usuario | Descripción:^{(Description: )} Se creó una cuenta de usuario.

• Identificador de evento:^{(Event ID: )} 4722 | Tipo:^{(Type: )} Éxito de auditoría | Categoría:^{(Category: )} Gestión de cuentas de usuario | Descripción:^{(Description: )} Se habilitó una cuenta de usuario.

• Identificador de evento:^{(Event ID: )} 4738 | Tipo:^{(Type: )} Auditoría de Éxito | Categoría:^{(Category: )} Gestión de cuentas de usuario | Descripción:^{(Description: )} Se cambió una cuenta de usuario.

• Identificador de evento:^{(Event ID: )} 4732 | Tipo:^{(Type: )} Auditoría de Éxito | Categoría: ^{(Category: )} Gestión de grupos de seguridad | Descripción:^{(Description: )} se agregó un miembro a un grupo local con seguridad habilitada.

2. Eliminar usuario:^{(Delete User: )} a continuación se encuentran los ID de eventos^{(Event IDs)} que se registran cuando se elimina el usuario.

• Identificador de evento:^{(Event ID: )} 4733 | Tipo:^{(Type: )} Auditoría de Éxito | Categoría: ^{(Category: )} Gestión de grupos de seguridad | Descripción:^{(Description: )} se eliminó un miembro de un grupo local con seguridad habilitada.

• Identificador de evento:^{(Event ID: )} 4729 | Tipo:^{(Type: )} Auditoría de Éxito | Categoría: ^{(Category: )} Gestión de grupos de seguridad | Descripción:^{(Description: )} se agregó un miembro a un grupo global con seguridad habilitada.

• Identificador de evento:^{(Event ID: )} 4726 | Tipo:^{( Type: )} Auditoría de Éxito | Categoría: ^{(Category: )} Gestión de cuentas de usuario | Descripción:^{(Description: )} Se eliminó una cuenta de usuario.

3. Cuenta de usuario deshabilitada:^{(User Account Disabled: )} a continuación se encuentran los ID de eventos^{(Event IDs)} que se registran cuando el usuario está deshabilitado.

• Identificador de evento:^{(Event ID: )} 4725 | Tipo:^{(Type: )} Auditoría de Éxito | Categoría: ^{(Category: )} Gestión de cuentas de usuario | Descripción:^{(Description: )} Se inhabilitó una cuenta de usuario.

• Identificador de evento:^{(Event ID: )} 4738 | Tipo:^{(Type: )} Auditoría de Éxito | Categoría: ^{(Category: )} Gestión de cuentas de usuario | Descripción:^{(Description: )} Se cambió una cuenta de usuario.

4. Cuenta de usuario habilitada:^{(User Account Enabled: )} a continuación se encuentran los ID de eventos^{(Event IDs)} que se registran cuando el usuario está habilitado.

• Identificador de evento:^{(Event ID: )} 4722 | Tipo:^{(Type: )} Auditoría de Éxito | Categoría: ^{(Category: )} Gestión de cuentas de usuario | Descripción:^{(Description: )} Se habilitó una cuenta de usuario.

• Identificador de evento:^{(Event ID: )} 4738 | Tipo:^{(Type: )} Auditoría de Éxito | Categoría: ^{(Category: )} Gestión de cuentas de usuario | Descripción:^{(Description: )} Se cambió una cuenta de usuario.

5. Restablecimiento de la contraseña de la cuenta de usuario:^{(User Account Password Reset: )} a continuación se muestran los ID de eventos^{(Event IDs)} que se registran cuando se restablece la contraseña de la cuenta de usuario .^{(User Account Password)}

• Identificador de evento:^{(Event ID: )} 4738 | Tipo:^{(Type: )} Auditoría de Éxito | Categoría: ^{(Category: )} Gestión de cuentas de usuario | Descripción:^{(Description: )} Se cambió una cuenta de usuario.

• Identificador de evento:^{(Event ID: )} 4724 | Tipo:^{(Type: )} Auditoría de Éxito | Categoría: ^{(Category: )} Gestión de cuentas de usuario | Descripción:^{(Description: )} se intentó restablecer la contraseña de una cuenta.

6. Configuración de la ruta del perfil de la cuenta de usuario: a ^{(User Account Profile Path Set: )}continuación^(Below) se muestra el ID de evento^{(Event ID)} que se registra cuando se configura la ruta del perfil^{(Profile Path)} para una cuenta de usuario.

• Identificador de evento:^{(Event ID: )} 4738 | Tipo:^{(Type: )} Auditoría de Éxito | Categoría: ^{(Category: )} Gestión de cuentas de usuario | Descripción:^{(Description: )} Se cambió una cuenta de usuario.

7. Cambio de nombre de la cuenta de usuario:^{(User Account Rename: )} a continuación se encuentran los ID de eventos^{(Event IDs)} que se registran cuando se cambia el nombre de la cuenta de usuario^{(User Account)} .

•  Identificador de evento:^{(Event ID: )} 4781 | Tipo:^{(Type: )} Auditoría de Éxito | Categoría: ^{(Category: )} Gestión de cuentas de usuario | Descripción:^{(Description: )} Se cambió el nombre de una cuenta.

• Identificador de evento:^{(Event ID: )} 4738 | Type: Auditoría de Éxito | Categoría: ^{(Category: )} Gestión de cuentas de usuario | Descripción:^{(Description: )} Se cambió una cuenta de usuario.

8. Crear grupo local:^{(Create Local Group: )} a continuación se encuentran los ID de eventos^{(Event IDs)} que se registran cuando se crea el grupo local^{(Local Group)} .

• Identificador de evento:^{(Event ID: )} 4731 | Tipo:^{(Type: )} Auditoría de Éxito | Categoría: ^{(Category: )} Gestión de grupos de seguridad | Descripción:^{(Description: )} se creó un grupo local con seguridad habilitada

• Identificador de evento:^{(Event ID: )} 4735 | Tipo:^{(Type: )} Auditoría de Éxito | Categoría: ^{(Category: )} Gestión de grupos de seguridad | Descripción:^{(Description: )} se cambió un grupo local con seguridad habilitada

9. Agregar usuario al grupo local: a ^{(Add User to Local Group: )}continuación^(Below) se muestra el ID de evento^{(Event ID)} que se registra cuando el usuario se agrega al grupo local .

• Identificador de evento:^{(Event ID: )} 4732 | Tipo:^{(Type: )} Auditoría de Éxito | Categoría: ^{(Category: )} Gestión de grupos de seguridad | Descripción:^{(Description: )} se agregó un miembro a un grupo local con seguridad habilitada

10. Eliminar usuario del grupo local: a ^{(Remove User from Local Group: )}continuación^(Below) se muestra el  ID de evento^{(Event ID)} que se registra cuando se elimina al usuario del grupo local .

• Identificador de evento:^{(Event ID: )} 4733 | Tipo:^(Type:) Auditoría de Éxito | Categoría:^(Category:)  Gestión de grupos de seguridad | Descripción:^{(Description:)} se eliminó un miembro de un grupo local con seguridad habilitada

11. Eliminar grupo local: a ^{(Delete Local Group: )}continuación^(Below) se muestra el ID de evento^{(Event ID)} que se registra cuando se elimina el grupo local .^{(Local Group)}

• Identificador de evento:^{(Event ID: )} 4734 | Tipo:^{(Type: )} Auditoría de Éxito | Categoría: ^{(Category: )} Gestión de grupos de seguridad | Descripción:^{(Description: )} se eliminó un grupo local con seguridad habilitada

12. Cambiar el nombre del grupo local:^{(Rename Local Group: )} a continuación se encuentran los ID de eventos^{(Event IDs)} que se registran cuando se cambia el nombre del grupo local^{(Local Group)} .

• Identificador de evento:^{(Event ID: )} 4781 | Tipo:^{(Type: )} Auditoría de Éxito | Categoría: ^{(Category: )} Gestión de cuentas de usuario | Descripción:^{(Description: )} Se cambió el nombre de una cuenta

• Identificador de evento:^{(Event ID: )} 4735 | Tipo:^{(Type: )} Auditoría de Éxito | Categoría: ^{(Category: )} Gestión de grupos de seguridad | Descripción:^{(Description: )} se cambió un grupo local con seguridad habilitada

De esta manera, puede rastrear a los usuarios con sus actividades. Este artículo se aplica a Windows 11/10/8.1 en modo de grupo de trabajo^{(Workgroup Mode)} . Para el Dominio de Active Directory^{(Directory Domain)} , el procedimiento será diferente.

How to track User Activity in WorkGroup Mode on Windows 11/10

Multi-user functіonality in Windows has enabled us to use it conveniently in public places like schools, colleges, offices, etc. At these places, there is generally an administrator, who manages to keep an eye on the activities of users working therein. Sometimes, users go beyond their limits and modify accounts configured in Workgroup mode. This can have security repercussions, and thus we should configure Windows to track down user activities.

By configuring Windows for monitoring user activities, we can increase the security of the administration and can also punish the victim users by observing their records in case of an offense. In this article, we’ll tell you the way to track user activities in Windows 11/10/8.1/8/7 using Audit Policy. Here is how:

Track User Activity using Audit Policy in WorkGroup Mode

1. Press Windows Key + R combination, type put secpol.msc in Run dialog box and hit Enter to open the Local Security Policy.

2. In the Local Security Policy window, expand Security Settings > Local Policies > Audit Policy. Now you should get your window resembled with this one:

3. In the right pane, you can see 9 Audit…[] policies have No auditing as pre-defined security setting. Click one by one all the policies and make the selection to Success and Failure, click Apply followed by OK for each policy.

In this way, we will have configured Windows to track down user activity.

Follow these steps to get the traced records:

Trace User Activity Using Event Viewer

1. Press Windows Key + R combination, type put eventvwr in Run dialog box and hit Enter to open the Event Viewer.

2. Now, in the Event Viewer window, from the left pane, select Windows Logs > Security. Here Windows keeps a record of every event concerning security.

3. From the center pane, click any event to get its info:

Now, here is the list of the event IDs which covers the user activities for the accounts in the workgroup mode:

1. Create User: Below are the Event IDs that get logged when the user is created.

• Event ID: 4728 | Type: Audit Success | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4720 | Type: Audit Success | Category: User Account Management | Description: A User account was created.

• Event ID: 4722 | Type: Audit Success | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group.

2. Delete User: Below are the Event IDs that get logged when the user is deleted.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group.

• Event ID: 4729 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled global group.

• Event ID: 4726 | Type: Success Audit | Category: User Account Management | Description: A User account was deleted.

3. User Account Disabled: Below are the Event IDs that get logged when the user is disabled.

• Event ID: 4725 | Type: Success Audit | Category: User Account Management | Description: A User account was disabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

4. User Account Enabled: Below are the Event IDs that get logged when the user is enabled.

• Event ID: 4722 | Type: Success Audit | Category: User Account Management | Description: A User account was enabled.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

5. User Account Password Reset: Below are the Event IDs that get logged when the User Account Password gets reset.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

• Event ID: 4724 | Type: Success Audit | Category: User Account Management | Description: An attempt was made to reset an account’s password.

6. User Account Profile Path Set: Below is the Event ID that gets logged when Profile Path gets set for a user account.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User account was changed.

7. User Account Rename: Below are the Event IDs that get logged when the User Account is renamed.

•  Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: The name of an account was changed.

• Event ID: 4738 | Type: Success Audit | Category: User Account Management | Description: A User Account was changed.

8. Create Local Group: Below are the Event IDs that get logged when the Local Group is created.

• Event ID: 4731 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was created

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

9. Add User to Local Group: Below is the Event ID that gets logged when the user gets added to the Local group.

• Event ID: 4732 | Type: Success Audit | Category: Security Group Management | Description: A member was added to a Security-enabled local group

10. Remove User from Local Group: Below is the Event ID that gets logged when the user is removed from the Local group.

• Event ID: 4733 | Type: Success Audit | Category: Security Group Management | Description: A member was removed from a Security-enabled local group

11. Delete Local Group: Below is the Event ID that gets logged when the Local Group is deleted.

• Event ID: 4734 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was deleted

12. Rename Local Group: Below are the Event IDs that get logged when the Local Group is renamed.

• Event ID: 4781 | Type: Success Audit | Category: User Account Management | Description: A name of an account was changed

• Event ID: 4735 | Type: Success Audit | Category: Security Group Management | Description: A Security-enabled local group was changed

In this way, you can trace users with their activities. This article is applicable for Windows 11/10/8.1 in Workgroup Mode. For Active Directory Domain, the procedure will be different.

Related posts

• Delete Perfiles de usuario antiguos y archivos automáticamente en Windows 10

• Cómo agregar Group Policy Editor a Windows 10 Home Edition

• Cómo habilitar o deshabilitar Win32 Long Paths en Windows 10

• Cómo deshabilitar Picture Password Sign-In option en Windows 10

• Cómo especificar Minimum and Maximum PIN length en Windows 10

• Cómo forzar a Group Policy Update en Windows 10

• Group Policy Settings Reference Guide para Windows 10

• Cómo especificar la fecha límite antes de reiniciar automáticamente para Update installation

• Habilitar la pantalla de Windows 10 Full Start Menu usando Group Policy or Registry

• Cómo habilitar el registro Windows Installer en Windows 10

• Import, Export, Repair, Restore Default Firewall Policy en Windows 10

• Habilitar, deshabilitar Autocorrect and Highlight Misspelled Words - Windows 10

• Access Local User and Group Management en Windows 10 Home

• Cómo bloquear todas las configuraciones Taskbar en Windows 10

• Create desktop Acceso directo a Switch User Accounts en Windows 11/10

• Cómo crear Local User Account usando PowerShell en Windows 10

• Cómo evitar que los usuarios eliminen la Diagnostic Data en Windows 10

• Customize Ctrl+Alt+Del Screen usando Group Policy or Registry en Windows

• Redirigir sitios de IE a Microsoft Edge utilizando Group Policy en Windows 10

• El dependency Service or Group no pudo iniciarse en Windows 10