นโยบายกลุ่มช่วยให้คุณตรวจสอบหรือตรวจสอบการเปลี่ยนแปลงบนคอมพิวเตอร์ Windows ของคุณได้ เมื่อใช้นโยบายกลุ่ม คุณสามารถตรวจสอบได้ว่าใครเข้าสู่ระบบและเมื่อใด ใครเปิดเอกสาร ใครสร้างบัญชีผู้ใช้ใหม่ หรือเปลี่ยนแปลงนโยบายความปลอดภัย
ตรวจสอบเอกสารของคุณโดยใช้นโยบายกลุ่ม
โดยพิมพ์ secpol.msc ในการเริ่มต้นค้นหาและกด Enter เพื่อเปิด Local Security Policy
ในส่วนการตั้งค่าความปลอดภัยในบานหน้าต่างด้านซ้าย ให้ขยายนโยบายท้องถิ่นแล้วเลือกนโยบายการตรวจสอบ
อย่างที่คุณเห็น คุณสามารถตรวจสอบ:
- เหตุการณ์การเข้าสู่ระบบบัญชี: กิจกรรมการเข้าสู่ระบบบัญชีถูกสร้างขึ้นทุกครั้งที่คอมพิวเตอร์ตรวจสอบข้อมูลประจำตัวของบัญชีที่มีสิทธิ์
- การจัดการบัญชี: ช่วยให้คุณเห็นว่ามีใครเปลี่ยนชื่อบัญชี เปิดหรือปิดบัญชี สร้างหรือลบบัญชี เปลี่ยนรหัสผ่าน หรือเปลี่ยนกลุ่มผู้ใช้
- การเข้าถึงบริการไดเรกทอรี: ตรวจสอบสิ่งนี้เพื่อดูว่ามีคนเข้าถึงวัตถุ Active Directory ที่มีรายการควบคุมการเข้าถึงระบบ (SACL) ของตัวเองเมื่อใด
- กิจกรรมการเข้าสู่ระบบ: เหตุการณ์ออกจากระบบจะถูกสร้างขึ้นเมื่อใดก็ตามที่เซสชันการเข้าสู่ระบบของบัญชีผู้ใช้ที่เข้าสู่ระบบสิ้นสุดลง
- การเข้าถึงวัตถุ: ช่วยให้คุณเห็นเมื่อมีคนใช้ไฟล์ โฟลเดอร์ เครื่องพิมพ์ รีจิสตรีคีย์ หรืออ็อบเจกต์อื่น
- การเปลี่ยนแปลงนโยบาย: การตรวจสอบการเปลี่ยนแปลงนโยบายความปลอดภัยในพื้นที่
- การใช้สิทธิ์: ตรวจสอบสิ่งนี้เพื่อดูว่ามีใครทำงานบนคอมพิวเตอร์ที่พวกเขาได้รับอนุญาตให้ดำเนินการ
- การติดตามกระบวนการ: ติดตามเหตุการณ์ เช่น การเปิดใช้งานโปรแกรมหรือการออกจากกระบวนการ
- เหตุการณ์ของระบบ: ให้คุณตรวจสอบและดูว่ามีใครปิดหรือรีสตาร์ทคอมพิวเตอร์ หรือเมื่อกระบวนการหรือโปรแกรมพยายามทำอะไรบางอย่างที่ไม่ได้รับอนุญาตให้ทำ
ดับเบิลคลิกที่รายการที่คุณต้องการตรวจสอบและเลือกตัวเลือกความสำเร็จ คลิกสมัคร คุณสามารถรับข้อมูลเพิ่มเติมเกี่ยวกับแต่ละรายการได้หากคุณคลิกที่แท็บอธิบาย
เพื่อ เปิดใช้งานการตรวจสอบเอกสารของคุณ ให้คลิกขวาที่ไฟล์แล้วคลิกเปิด Properties
เลือกแท็บความปลอดภัย> ขั้นสูง> แท็บการตรวจสอบ
คลิก ดำเนินการต่อ เพื่อเปิดกล่องการตั้งค่าความปลอดภัยขั้นสูง แล้วคลิก เพิ่ม
ในตอนนี้ ในกล่อง ป้อนชื่อวัตถุเพื่อเลือก ให้พิมพ์ชื่อของผู้ใช้หรือกลุ่มที่มีการดำเนินการที่คุณต้องการติดตาม จากนั้นคลิก ตกลง ในแต่ละส่วน กล่องโต้ตอบที่เปิดอยู่สี่กล่อง
เลือกช่องทำเครื่องหมายสำหรับการดำเนินการใดๆ ที่คุณต้องการตรวจสอบ จากนั้นคลิก ตกลง หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับสิ่งที่คุณตรวจสอบได้และการดำเนินการที่ตรวจสอบได้สำหรับไฟล์ โปรดไปที่ Microsoft
เพื่อดูบันทึกการตรวจสอบ , พิมพ์ ตัวแสดงเหตุการณ์ ในการเริ่มต้นค้นหาและกด Enter
ในบานหน้าต่างด้านซ้าย ให้ดับเบิลคลิก Windows Logs แล้วคลิก Security ดับเบิลคลิกถัดไปที่กิจกรรมเพื่อดูรายละเอียดบันทึก
ฉันหวังว่าคุณจะพบว่าโพสต์นี้มีประโยชน์
