Remove From My Forums

Event ID connexion a distance

Question
0

Connectez-vous pour voter

Bonjour <o:p></o:p>

je cherche le id sur un PC, qui a été remoté a distance sans les outils approuvés ( sans l'aval du end user ) , des idées svp

afin d'invistiguer

slts

Partager c'est avancer : Votez!SVP

jeudi 4 septembre 2014 10:49

Réponses

0

Connectez-vous pour voter
Désolé pour le retard concernant ma réponse, je suis trop pris chez un client ...

Bon, il faut savoir qu'il n'y a pas d'outils "GUI" ou en ligne de commande nous permettant d'afficher un historique des sesssions quand les sessions sont plus actives.

En revanche, depuis l'observateur d'événément, nous avons des logs spécifiques aux connexions bureau à distance, c'est une sorte d'historique vous indiquant les comptes d'utilisateurs qui se connectés à quelle heure se sont déconnectés ..Etc.

Procédure

> Depuis le PC W7 en question, cliquer sur le menu Démarrer

> Saisissez ensuite eventvwr.msc

> L'observateur d'événement s'ouvre

> Naviguez ensuite jusqu'au : Journaux d'Applications & Services

> Développez Journaux d'applications & services et cliquez sur Microsoft et ensuite Windows

> Enfin chercher "TerminalService-LocalSessionManager" ensuite cliquez sur Opérationnel

> et là, vous allez retrouver tous les logs de connexion et déconnexion aussi, voir exemple ci-après, on voit bien que le user DOMAIN\hikadiri s'est connecté avec succès à l'heure indiqué dans l'évent. (9h11).

A+
HK.
Hicham KADIRI | Just Another IT Guy
- Marqué comme réponse Nabil-IT mardi 9 septembre 2014 08:36
mardi 9 septembre 2014 08:33

Toutes les réponses

0

Connectez-vous pour voter

pourriez-vous reformuler votre demande ?

vous voulez obtenir un ID de quoi ? ID des sessions actives ? ID d'événement des connexions bureau à distance (journaux d'événements) ?

A+
HK.
Hicham KADIRI | Just Another IT Guy

vendredi 5 septembre 2014 20:27
0

Connectez-vous pour voter

bonsoir;je cherche le id qui m'affiche le user qui a acceder au pc a distance sur le pc merci
Partager c'est avancer : Votez!SVP

vendredi 5 septembre 2014 21:48
0

Connectez-vous pour voter

normalement, si l'utilisateur est connecté (session active) il suffit de lancer l'invite de commande (cmd.exe) en tant qu'Administrateur, et depuis l'invite de commande vous saisissez : Query Session

Vous aurez ensuite la liste des sessions TSE ou console (local) avec les noms d'utilisateur et les ID de session.

A+
HK.

Hicham KADIRI | Just Another IT Guy

vendredi 5 septembre 2014 23:10
0

Connectez-vous pour voter

bonjour

merci pour le retour, je cherche un historique des users connectés ?

une idée svp ?

merci
Partager c'est avancer : Votez!SVP

mardi 9 septembre 2014 07:33
0

Connectez-vous pour voter

Bonjour Nabil,

As-tu regradé dans eventlog/ Securité? logon!!

A+
L’information n’a de valeur que si elle est partagée!! AK

mardi 9 septembre 2014 07:39
0

Connectez-vous pour voter

Bonjour Ahmed ;

justement d'ou ma question, je cherche le bon ID, dans le journale eventlog security ?

merci d'avance
Partager c'est avancer : Votez!SVP

mardi 9 septembre 2014 07:52
1

Connectez-vous pour voter

Donc tu cherches les sid de tous les utilisateurs?

si c'est le cas voici une commande qui va te retourner tous les id usrs:

Sur un AD:

Get-ADUser -Filter {Name -like "*"} | Select Name,SID | Format-Table -Auto

Sur Un serveur:

wmic useraccount get name,sid

A+
L’information n’a de valeur que si elle est partagée!! AK

mardi 9 septembre 2014 08:15
0

Connectez-vous pour voter

Bonjour ;

merci pour les commandes utiles, juste pour me faire comprendre

sur la machine d'un user , une personne à accéder à distance avec un outils tiers piraté ( nous utilisons SCCM) pour les remotes avec l'option approuvé

donc je cherche un évènement sur la machine en question qui me donne l’utilisateur qui a accéder sur ce denier

merci
Partager c'est avancer : Votez!SVP

mardi 9 septembre 2014 08:21
0

Connectez-vous pour voter
Désolé pour le retard concernant ma réponse, je suis trop pris chez un client ...

Bon, il faut savoir qu'il n'y a pas d'outils "GUI" ou en ligne de commande nous permettant d'afficher un historique des sesssions quand les sessions sont plus actives.

En revanche, depuis l'observateur d'événément, nous avons des logs spécifiques aux connexions bureau à distance, c'est une sorte d'historique vous indiquant les comptes d'utilisateurs qui se connectés à quelle heure se sont déconnectés ..Etc.

Procédure

> Depuis le PC W7 en question, cliquer sur le menu Démarrer

> Saisissez ensuite eventvwr.msc

> L'observateur d'événement s'ouvre

> Naviguez ensuite jusqu'au : Journaux d'Applications & Services

> Développez Journaux d'applications & services et cliquez sur Microsoft et ensuite Windows

> Enfin chercher "TerminalService-LocalSessionManager" ensuite cliquez sur Opérationnel

> et là, vous allez retrouver tous les logs de connexion et déconnexion aussi, voir exemple ci-après, on voit bien que le user DOMAIN\hikadiri s'est connecté avec succès à l'heure indiqué dans l'évent. (9h11).

A+
HK.
Hicham KADIRI | Just Another IT Guy
- Marqué comme réponse Nabil-IT mardi 9 septembre 2014 08:36
mardi 9 septembre 2014 08:33
0

Connectez-vous pour voter

Bonjour Hicham<o:p></o:p>

merci beaucoup pour le retour , ça correspond a mes
recherches :)

mes salutations <o:p></o:p>

Partager c'est avancer : Votez!SVP

mardi 9 septembre 2014 08:36

Produits

Resources

Solutions

Mises à jour

Évaluations

Sites connexes

Formation

Certifications

Autres ressources

Support TechNet

Autres liens

Pas un pro ?

Meilleur auteur de réponses

Event ID connexion a distance

Question

Réponses

Toutes les réponses