Аудит входа в систему отслеживает как локальные, так и сетевые входы в компьютер. При каждом входе фиксируется имя вошедшего пользователя, и время его входа. Вы также можете просмотреть, когда эти пользователи вышли из системы.
Включаем аудит входа в систему
Сначала, откройте редактор локальной групповой политики. Для этого нажмите клавишу Пуск и в поле поиска наберите gpedit.msc и нажмите Enter.
В редакторе политики пройдите в папку: Политика “Локальный компьютер” -> Конфигурация компьютера –> Конфигурация Windows –> Параметры безопасности –> Локальные политики –> Политика аудита.
Теперь в правой панели двойным кликом войдите в настройки аудита входа в систему. В окне настроек включите опцию «Успех» для отображения случаев успешного доступа. Вы также можете включить опцию «Отказ» для случаев несостоявшихся попыток входа в систему.
Просмотр событий входа в систему
После включения аудита входа в систему, Windows будет записывать все события входа – включая имя пользователя и время – в системный журнал.
Для просмотра этих событий, откройте «Просмотр событий». Для этого в окне поиска введите «Просмотр событий» и нажмите Enter.
Пройдите в Журналы Windows -> Безопасность.
Ищите события с кодом 4624 – это события с успешным входом в систему. Для просмотра более подробной информации, вроде имени входившего пользователя, вы можете дважды кликнуть по событию и пролистать текст вниз.
В случаях чрезмерного загромождения журнала безопасности, вы можете кликнуть по пункту "Фильтр текущего журнала..." в боковой панели справа, и отфильтровать события по коду 4624. В результате вы увидите только события успешного входа в систему.
Вот и все! Удачи вам!
Комментарии (3)
А если по указанию с "Выше" сисадмин контролирует то, чем занимается на рабочем месте тот или иной юзер (например делает скрины), тогда как можно проконтролировать это? С уважением, Николай.