Как узнать, кто вошел в систему (и когда)

3 февраля 2021 |

Как узнать, кто вошел в систему (и когда)

Вы когда-нибудь хотели отслеживать, кто и когда входит в ваш компьютер? В профессиональных выпусках Windows вы можете включить аудит входа в систему, чтобы Windows отслеживала, какие учетные записи пользователей входят в систему и когда.

Параметр «Аудит событий входа в систему» ​​отслеживает как локальный, так и сетевой вход. Каждое событие входа в систему указывает учетную запись пользователя, который вошел в систему, и время входа в систему. Вы также можете видеть, когда пользователи вышли из системы.

Примечание. Аудит входа в систему работает только в профессиональной версии Windows, поэтому вы не можете использовать ее, если у вас домашняя версия. Это должно работать в Windows 7, 8 и Windows 10. В этой статье мы рассмотрим Windows 10. В других версиях экраны могут выглядеть немного иначе, но процесс в основном тот же.

Включение аудита входа в систему

Чтобы включить аудит входа в систему, вы собираетесь использовать редактор локальной групповой политики. Это довольно мощный инструмент, поэтому, если вы никогда не использовали его раньше, стоит потратить некоторое время, чтобы узнать, на что он способен. Кроме того, если вы работаете в корпоративной сети, сделайте всем одолжение и сначала посоветуйтесь со своим администратором. Если ваш рабочий компьютер является частью домена, также вероятно, что он является частью групповой политики домена, которая в любом случае заменит локальную групповую политику.

Чтобы открыть редактор локальной групповой политики, нажмите «Пуск», введите « gpedit.msc », а затем выберите полученную запись.

В редакторе локальной групповой политики на левой панели перейдите к Политике локального компьютера & gt, Конфигурация компьютера & gt, Настройки Windows & gt, Настройки безопасности & gt, Локальные политики & gt, Политика аудита. На правой панели дважды щелкните параметр «Аудит событий входа в систему».

В открывшемся окне свойств включите параметр «Успех», чтобы иметь журнал успешных попыток входа в систему Windows. Включите опцию «Ошибка», если вы также хотите, чтобы Windows регистрировала неудачные попытки входа в систему. По завершении нажмите кнопку «ОК».

Теперь вы можете закрыть окно редактора локальной групповой политики.

Просмотр событий входа в систему

После включения аудита входа в систему Windows записывает эти события входа вместе с именем пользователя и меткой времени в журнал безопасности. Вы можете просмотреть эти события с помощью средства просмотра событий.

Нажмите «Пуск», введите «событие» и затем щелкните результат «Просмотр событий».

В окне «Просмотр событий» на левой панели перейдите в Журналы Windows & gt, Безопасность.

На средней панели вы, вероятно, увидите несколько событий «Успешный аудит». Windows регистрирует отдельные детали для таких вещей, как, например, когда учетной записи, с которой кто-то входит, успешно предоставляются свои привилегии. Вам нужны события с идентификатором 4624 — они представляют собой успешные события входа в систему. Вы можете увидеть подробную информацию о выбранном событии в нижней части этой средней панели, но вы также можете дважды щелкнуть событие, чтобы увидеть его детали в отдельном окне.

А если вы прокрутите немного вниз до деталей, вы увидите информацию, которая вам нужна — например, имя учетной записи пользователя.

И потому что это просто еще одно событие в журнале событий Windows с определенным идентификатором события, вы также можете использовать планировщик задач для выполнения действий при входе в систему. Вы даже можете получать сообщения Windows по электронной почте, когда кто-то входит в систему.

Как узнать, кто вошел в систему (и когда)


Напишите пару строк: