是否有办法在Windows 2008 R2计算机上为特定用户检索远程/ rdplogin的审计跟踪/历史logging?
我们在我们的Intranet有一个服务器,这个服务器有一个全域用户作为本地pipe理员,当我昨天用它的凭证login时,我看到了…好的事情,在已经存在的会话中发生了一些令人不快的事情,我想知道谁是连接和使用这个帐户/会话之前谁是谁可能有助于追查他实际上是谁的任何types的信息 – 例如机器名称的login/会话是从等发起的。任何方式来检索任何有用的信息?
我不是一个pipe理员,IT部门需要一段时间才能做出回应,但是我们希望在不改变pw的情况下尽快停止该用户/行为。
您应该能够在安全日志中find连接计算机的IP地址。 打开服务器上的事件查看器程序,然后检查安全日志(在Windows日志文件夹下)。
在右侧,selectfilter并过滤事件ID 4624.您将不得不查看事件,直到find具有“logintypes:10”的事件。 这些将显示连接机器的IP地址为“源networking地址”。
您可以通过打开命令提示符并键入nslookup IPAddress(例如:nslookup 192.168.1.1)来检查计算机名称。 请注意,根据您的networkingconfiguration,您在日志中find的IP地址可能已被重新分配到新机器,因此事件发生后可能会不准确。
IP(或机器名称)也可能显示在文件夹path“应用程序和服务日志\ Microsoft \ Windows \ TerminalServices-RemoteConnectionManager”下的事件veiwer的操作日志中。 查找EventID 1149。