我如何从日志事件中了解用户是否已连接到远程桌面以及何时连接到远程桌面?我有一个 AD 2003 环境,我想知道某个用户何时连接到远程桌面服务。
答案1
在域控制器上,配置策略:Policies > Windows Settings > Security Settings > Local Policies > Audit Policy >Audit account logon events至Enabled, Success。使用分配给域的域控制器组织单元的组策略对象执行此操作。
一旦 DC 更新了其策略(您可以使用 强制执行gpupdate),每次成功登录时,安全日志中都会生成一个事件。在事件中,它将列出帐户名称(即用户名)以及源网络地址(工作站的 IP)。它有时会根据登录类型填写其他字段,但这两个字段是可靠的。