Meilleur auteur de réponses
Event ID connexion a distance

Question
-
Bonjour <o:p></o:p>
je cherche le id sur un PC, qui a été remoté a distance sans les outils approuvés ( sans l'aval du end user ) , des idées svp
afin d'invistiguer
slts
Partager c'est avancer : Votez!SVP
jeudi 4 septembre 2014 10:49
Réponses
-
Désolé pour le retard concernant ma réponse, je suis trop pris chez un client ...
Bon, il faut savoir qu'il n'y a pas d'outils "GUI" ou en ligne de commande nous permettant d'afficher un historique des sesssions quand les sessions sont plus actives.
En revanche, depuis l'observateur d'événément, nous avons des logs spécifiques aux connexions bureau à distance, c'est une sorte d'historique vous indiquant les comptes d'utilisateurs qui se connectés à quelle heure se sont déconnectés ..Etc.
Procédure
> Depuis le PC W7 en question, cliquer sur le menu Démarrer
> Saisissez ensuite eventvwr.msc
> L'observateur d'événement s'ouvre
> Naviguez ensuite jusqu'au : Journaux d'Applications & Services
> Développez Journaux d'applications & services et cliquez sur Microsoft et ensuite Windows
> Enfin chercher "TerminalService-LocalSessionManager" ensuite cliquez sur Opérationnel
> et là, vous allez retrouver tous les logs de connexion et déconnexion aussi, voir exemple ci-après, on voit bien que le user DOMAIN\hikadiri s'est connecté avec succès à l'heure indiqué dans l'évent. (9h11).
A+
HK.Hicham KADIRI | Just Another IT Guy
- Marqué comme réponse Nabil-IT mardi 9 septembre 2014 08:36
mardi 9 septembre 2014 08:33
Toutes les réponses
-
pourriez-vous reformuler votre demande ?
vous voulez obtenir un ID de quoi ? ID des sessions actives ? ID d'événement des connexions bureau à distance (journaux d'événements) ?
A+
HK.Hicham KADIRI | Just Another IT Guy
vendredi 5 septembre 2014 20:27 -
bonsoir;je cherche le id qui m'affiche le user qui a acceder au pc a distance sur le pc merci
Partager c'est avancer : Votez!SVP
vendredi 5 septembre 2014 21:48 -
normalement, si l'utilisateur est connecté (session active) il suffit de lancer l'invite de commande (cmd.exe) en tant qu'Administrateur, et depuis l'invite de commande vous saisissez : Query Session
Vous aurez ensuite la liste des sessions TSE ou console (local) avec les noms d'utilisateur et les ID de session.
A+
HK.Hicham KADIRI | Just Another IT Guy
vendredi 5 septembre 2014 23:10 -
bonjour
merci pour le retour, je cherche un historique des users connectés ?
une idée svp ?
merci
Partager c'est avancer : Votez!SVP
mardi 9 septembre 2014 07:33 -
Bonjour Nabil,
As-tu regradé dans eventlog/ Securité? logon!!
A+
L’information n’a de valeur que si elle est partagée!! AK
mardi 9 septembre 2014 07:39 -
Bonjour Ahmed ;
justement d'ou ma question, je cherche le bon ID, dans le journale eventlog security ?
merci d'avance
Partager c'est avancer : Votez!SVP
mardi 9 septembre 2014 07:52 -
Donc tu cherches les sid de tous les utilisateurs?
si c'est le cas voici une commande qui va te retourner tous les id usrs:
Sur un AD:
Get-ADUser -Filter {Name -like "*"} | Select Name,SID | Format-Table -Auto
Sur Un serveur:
wmic useraccount get name,sid
A+
L’information n’a de valeur que si elle est partagée!! AK
mardi 9 septembre 2014 08:15 -
Bonjour ;
merci pour les commandes utiles, juste pour me faire comprendre
sur la machine d'un user , une personne à accéder à distance avec un outils tiers piraté ( nous utilisons SCCM) pour les remotes avec l'option approuvé
donc je cherche un évènement sur la machine en question qui me donne l’utilisateur qui a accéder sur ce denier
merci
Partager c'est avancer : Votez!SVP
mardi 9 septembre 2014 08:21 -
Désolé pour le retard concernant ma réponse, je suis trop pris chez un client ...
Bon, il faut savoir qu'il n'y a pas d'outils "GUI" ou en ligne de commande nous permettant d'afficher un historique des sesssions quand les sessions sont plus actives.
En revanche, depuis l'observateur d'événément, nous avons des logs spécifiques aux connexions bureau à distance, c'est une sorte d'historique vous indiquant les comptes d'utilisateurs qui se connectés à quelle heure se sont déconnectés ..Etc.
Procédure
> Depuis le PC W7 en question, cliquer sur le menu Démarrer
> Saisissez ensuite eventvwr.msc
> L'observateur d'événement s'ouvre
> Naviguez ensuite jusqu'au : Journaux d'Applications & Services
> Développez Journaux d'applications & services et cliquez sur Microsoft et ensuite Windows
> Enfin chercher "TerminalService-LocalSessionManager" ensuite cliquez sur Opérationnel
> et là, vous allez retrouver tous les logs de connexion et déconnexion aussi, voir exemple ci-après, on voit bien que le user DOMAIN\hikadiri s'est connecté avec succès à l'heure indiqué dans l'évent. (9h11).
A+
HK.Hicham KADIRI | Just Another IT Guy
- Marqué comme réponse Nabil-IT mardi 9 septembre 2014 08:36
mardi 9 septembre 2014 08:33 -
Bonjour Hicham<o:p></o:p>
merci beaucoup pour le retour , ça correspond a mes
recherches :)mes salutations <o:p></o:p>
Partager c'est avancer : Votez!SVP
mardi 9 septembre 2014 08:36