答案1
正如您所说,DC 不会使用缓存凭据捕获远程计算机上的登录信息,因为计算机可能并不总是物理连接到域。相反,您必须在他的计算机在线时直接检查他的计算机。
您可以使用事件查看器或命令提示符下的 wevtutil 命令来管理远程计算机上的事件日志。
- 启动事件查看器。
- 例如单击根节点事件查看器(本地),在控制台树中。
- 在行动菜单,点击连接到另一台计算机
- 在里面另一个电脑盒中,键入远程计算机的名称或 IP 地址。
- (可选)选择以其他用户身份连接, 点击设置用户, 输入用户名和密码,然后点击好的
- 点击好的
搜索事件 4648 - 尝试使用显式凭据登录 在他的计算机上。
正如描述所说,只有使用显式凭据登录时才会发生这种情况。即使使用已保存的凭据(即远程桌面),也会在登录或解锁时生成此事件。
注意:与任何事件一样,您可以进行额外的过滤以删除任何自动生成的事件(4648 和用户名不太常见)。GUI(在 Filter 选项卡上)提供对某些字段的过滤。使用 XML 选项卡,您可以对事件中的任何字段进行过滤。