如何从日志事件中了解用户是否连接到远程桌面以及何时? 我有一个AD 2003环境,我想知道某个用户何时连接到远程桌面服务。
在域控制器上,将策略: Policies > Windows Settings > Security Settings > Local Policies > Audit Policy >Audit account logon events为Enabled, Success 。 使用分配给域的域控制器组织单位的组策略对象执行此操作。
一旦DC更新了他们的策略(您可以使用gpupdate强制他们),将在安全日志中为每个成功的login生成一个事件。 在事件中,它将列出帐户名称(即用户名),以及源networking地址(工作站的IP)。 它有时会根据logintypes填写其他字段,但这两个字段是可靠的。