Bonjour,
Merci pour l'info.
J'avais bien trouvé les logs 4740 du client verrouillé, mais je ne trouve aucune information sur la machine que cherche à s'identifier.
Je trouve seulement l'utilisateur, le domaine sur lequel on cherche à s'identifier.
Et pour la commande sur le lient fourni "$Events | foreach {$_.properties[1].value}" et le script lancé auparavant "
## Define the username that’s locked out
$Username = ‘user’
## Find the domain controller PDCe role
$Pdce = (Get-AdDomain).PDCEmulator
## Build the parameters to pass to Get-WinEvent
$GweParams = @{
‘Computername’ = $Pdce
‘LogName’ = ‘Security’
‘FilterXPath’ = "*[System[EventID=4740] and EventData[Data[@Name='TargetUserName']='$Username']]"
}
## Query the security event log
$Events = Get-WinEvent @GweParams
Je trouve les informations suivantes :
MSTSC
MSTSC
Rdesktop
MSTSC
avec beaucoup d'espace entre. Cela me dit le type d'application utilisé mais toujours pas la machine.
Auriez-vous d'autres pistes ?
Encore merci
