如何find发送关机命令的PC的IP地址?
我是学校的系统pipe理员。 我们有一个教室,有20个电脑在一个域中,所有电脑都使用同一个用户login。
有时学生使用关机命令closures其他学生的电脑。
在被closures的PC的系统事件日志中,我可以findID为1074的事件。问题是它只显示用户的名字,对于所有20台PC来说都是一样的。 所以我正在寻找发送命令的个人计算机的IP地址或计算机名称,以便我可以识别学生。
有什么build议么? 或者找出谁做的其他方式?
- RSYNC和SCP的差异
- 如何在销毁池之前检查池中的所有ZFS快照是否已暂停
- 有没有办法将带有控制字符的putty“All session output”日志转换为更具人性化的“可打印输出”日志?
- 如何将原始文本发送到Mac上的打印机?
- redhat 6.6 64位操作系统中的systemctl命令在哪里?
谢谢!
将我的意见/想法转换成答案。
看来你已经给了所有的学生:
- 对所有计算机进行pipe理控制。
- 通过允许他们共享相同的pipe理员帐户匿名。
在典型的课堂环境中,这可能是次优的configuration。
尽pipe您声称学生不是计算机上的pipe理员,但默认情况下,只有pipe理员组才有权强制从远程系统closures计算机。 检查适用的本地安全策略或组策略中的用户权限分配类别:
现在,为了更直接地回答你的问题 ,现在计算机上可能没有足够的取证证据来确定关机命令是从哪个计算机发出的。 可以启用更多日志logging,以便将来捕获这些事件,但现在启用此类日志logging将无助于您查明过去发生的事情。 具体来说,我认为这将帮助您的日志logging在“高级审核策略”部分(这些仅仅是示例,而不是详尽的清单)
- 审核RPC事件
- 审计筛选平台连接(Windows防火墙)
远程关机使用RPC,所以肯定会显示一些东西。 而Windows防火墙允许入站连接时logging将绝对会给你一个IP地址。 你将能够关联事件。
以下是configuration高级审核策略的分步指南:
https://technet.microsoft.com/en-us/library/dd408940%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396
编辑 :更新以确认从Windows 8.1起,事件日志实际上包括启动closures的远程系统的IP地址。 (默认情况下,不必启用任何额外的日志logging。)但是我不知道旧版本的Windows是否包含IP地址。
