Как узнать IP-адрес компьютера, отправившего команду выключения?

Преобразование моих комментариев / мыслей в ответ.

Похоже, вы дали всем студентам:

• Административный контроль над всеми компьютерами.
• Анонимность, позволяя им использовать одну и ту же учетную запись администратора.

Вероятно, это неоптимальная конфигурация для типичной классной комнаты.

Хотя вы утверждаете, что учащиеся не являются администраторами компьютеров, по умолчанию только группа «Администраторы» имеет право принудительно выключить компьютер из удаленной системы. Проверьте категорию «Назначение прав пользователя» в соответствующей локальной политике безопасности или групповой политике:

Теперь, чтобы более прямо ответить на ваш вопрос, вероятно, прямо сейчас на компьютере осталось недостаточно данных, чтобы определить, с какого компьютера была подана команда выключения. Можно включить дополнительное ведение журнала, которое позволит вам фиксировать эти события в будущем, но включение такого ведения журнала сейчас не поможет вам узнать, что происходило в прошлом. В частности, журнал, который, как я думаю, помог бы вам, находится в разделе Advanced Audit Policy (это просто примеры, а не исчерпывающий список).

• Аудит событий RPC
• Аудит подключений платформы фильтрации (брандмауэр Windows)

Удаленное выключение использует RPC, так что это обязательно покажет что-то. А ведение журнала, когда брандмауэр Windows разрешает входящее соединение, обязательно даст вам IP-адрес. Вы сможете соотнести события.

Вот пошаговое руководство по настройке расширенной политики аудита:

https://technet.microsoft.com/en-us/library/dd408940%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

редактировать: Обновление для подтверждения того, что начиная с Windows 8.1 журнал событий действительно включает IP-адрес удаленной системы, инициировавшей завершение работы. (По умолчанию, без необходимости включать какое-либо дополнительное ведение журнала.) Но я не знаю, включают ли более старые версии Windows IP-адрес или нет.