我希望每次通过 RDP 远程会话登录计算机时都运行一个命令。在任务计划程序中,我将触发器设置如下:
<QueryList>
<Query Id="0" Path="Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational">
<Select Path="Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational">*[System[(Level=4 or Level=0) and (EventID=1149)]]</Select>
</Query>
</QueryList>
然后我尝试通过 RDP 登录,但即使事件已记录,任务也根本不会被触发。
Protokollname: Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational
Quelle: Microsoft-Windows-TerminalServices-RemoteConnectionManager
Datum: 22.10.2021 16:01:32
Ereignis-ID: 1149
Aufgabenkategorie:Keine
Ebene: Informationen
Schlüsselwörter:
Benutzer: Netzwerkdienst
Computer: My Computer Name
Beschreibung:
Remotedesktopdienste: Die Benutzerauthentifizierung war erfolgreich:
Benutzer: My ID
Domäne:
Quellnetzwerkadresse: My IP
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-TerminalServices-RemoteConnectionManager" Guid="{c76baa63-ae81-421c-b425-340b4b24157f}" />
<EventID>1149</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x1000000000000000</Keywords>
<TimeCreated SystemTime="2021-10-22T14:01:32.8354266Z" />
<EventRecordID>1034</EventRecordID>
<Correlation ActivityID="{f42073e2-bc36-4f11-bcee-f01056750000}" />
<Execution ProcessID="2024" ThreadID="8216" />
<Channel>Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational</Channel>
<Computer>My Computer</Computer>
<Security UserID="S-1-5-20" />
</System>
<UserData>
<EventXML xmlns="Event_NS">
<Param1>My User ID</Param1>
<Param2>
</Param2>
<Param3>My IP</Param3>
</EventXML>
</UserData>
</Event>
我认为问题可能来自 ID 的读取权限,但以系统身份或我自己的帐户(在后台)运行此任务也无济于事。
答案1
我认为您使用了错误的事件 ID,您应该使用事件 ID 20521,其定义为“将从本地计算机加载此 RDP-Tcp 连接的用户配置信息”:
打开事件查看器
去 应用程序和服务日志 > Microsoft > Windows > TerminalServices-RemoteConnectionManager > Admin
任何 ID=20521 的事件都表示成功的 RDP 连接
右键单击该事件并选择“附加任务到此事件”。