我们有一个开发机器池,开发人员通过RDP登录,通常他们不会注销,而只是断开连接。作为本地管理员,我可以强制关闭日志,但我想检查用户何时断开连接。在RDP会话中查找用户断开连接时间Windows服务器2012
从任务管理器我只能看到用户名和它的状态
有没有一种方法来发现当用户使用任务管理器,PowerShell中,CMD或任何断开?
我们有一个开发机器池,开发人员通过RDP登录,通常他们不会注销,而只是断开连接。作为本地管理员,我可以强制关闭日志,但我想检查用户何时断开连接。在RDP会话中查找用户断开连接时间Windows服务器2012
从任务管理器我只能看到用户名和它的状态
有没有一种方法来发现当用户使用任务管理器,PowerShell中,CMD或任何断开?
据我知道这是不是在安全日志。查找的正确位置在Microsoft Event Viewer
下Applications and Services Logs => Microsoft => Windows => TerminalServices-LocalSessionManager => Operational
然后在操作日志下。
要查找的eventID是ID24(断开的用户会话)。 EventID 25是重新连接。
开始 - >运行 - > Eventvwr - > Windows日志 - >安全性。按'任务类别=注销'进行过滤
您可以使用Windows命令查询用户用户名 /服务器:服务器名或者你可以输入查询用户/服务器:服务器名找出所有活动或已断开的会话。
下面是示例输出,我已经模糊了我的信息隐私:
我还创建了一个PowerShell脚本来自动完成这个任务,这里是链接Powershell to find out disconnected RDP session and log off at the same time
完美,谢谢!我纠正了这条路,它并不完整。在这个视图中,我只能找到真正的用户连接,正是我所期待的 – Naigel