Есть ли способ получить контрольный журнал / историю удаленных входов в систему / rdp для конкретного пользователя на машине Windows 2008 R2?
У нас есть сервер в нашей интрасети, на котором пользователь всего домена является локальным администратором, и когда я вчера вошел в систему с его учетными данными, я увидел ... ну ... что-то довольно "неприятное" происходит в уже существующем сеансе, и я ' Я хотел бы узнать, кто был тем, кто подключался и использовал эту учетную запись / сеанс до меня ... кто является какой-либо информацией, которая может помочь отследить, кем он был на самом деле - например, имя компьютера, с которого был инициирован вход / сеанс и т. д. Есть ли способ получить какую-либо полезную информацию?
Я не администратор, и ИТ-отделу требуется время, чтобы ответить, но мы хотим остановить этого пользователя / поведение как можно скорее, не изменяя «просто» пароль и т. Д.
Вы должны найти IP-адрес подключающейся машины в журнале безопасности. Откройте программу просмотра событий на сервере, затем проверьте журнал безопасности (в папке Windows Logs).
С правой стороны выберите фильтр и фильтр для события с идентификатором 4624. Вам нужно будет просмотреть события, пока не найдете те, которые имеют «Тип входа: 10». В них будет отображаться IP-адрес подключающейся машины как «Исходный сетевой адрес».
Вы можете проверить имя компьютера, открыв командную строку и набрав nslookup IPAddress (пример: nslookup 192.168.1.1). Обратите внимание, что в зависимости от конфигурации вашей сети IP-адрес, который вы найдете в журнале, мог быть переназначен новому компьютеру, поэтому это может быть неточным после того, как событие произошло.
IP (или имя компьютера) также может отображаться в журнале операций в окне событий по пути к папке «Журналы приложений и служб \ Microsoft \ Windows \ TerminalServices-RemoteConnectionManager». Найдите EventID 1149.