locked
Event ID connexion a distance RRS feed

  • Question

  • Bonjour <o:p></o:p>

    je cherche le id sur un PC, qui a été remoté a distance sans les outils approuvés ( sans l'aval du end user ) , des idées svp

    afin d'invistiguer

    slts



    Partager c'est avancer : Votez!SVP

    jeudi 4 septembre 2014 10:49

Réponses

  • Désolé pour le retard concernant ma réponse, je suis trop pris chez un client ...

    Bon, il faut savoir qu'il n'y a pas d'outils "GUI" ou en ligne de commande nous permettant d'afficher un historique des sesssions quand les sessions sont plus actives.

    En revanche, depuis l'observateur d'événément, nous avons des logs spécifiques aux connexions bureau à distance, c'est une sorte d'historique vous indiquant les comptes d'utilisateurs qui se connectés à quelle heure se sont déconnectés ..Etc.

    Procédure

    > Depuis le PC W7 en question, cliquer sur le menu Démarrer

    > Saisissez ensuite eventvwr.msc

    > L'observateur d'événement s'ouvre

    > Naviguez ensuite jusqu'au : Journaux d'Applications & Services

    > Développez Journaux d'applications & services et cliquez sur Microsoft et ensuite Windows

    > Enfin chercher "TerminalService-LocalSessionManager" ensuite cliquez sur Opérationnel

    > et là, vous allez retrouver tous les logs de connexion et déconnexion aussi, voir exemple ci-après, on voit bien que le user DOMAIN\hikadiri s'est connecté avec succès à l'heure indiqué dans l'évent. (9h11).

    A+
    HK.


    Hicham KADIRI | Just Another IT Guy

    • Marqué comme réponse Nabil-IT mardi 9 septembre 2014 08:36
    mardi 9 septembre 2014 08:33

Toutes les réponses

  • pourriez-vous reformuler votre demande ?

    vous voulez obtenir un ID de quoi ? ID des sessions actives ? ID d'événement des connexions bureau à distance (journaux d'événements) ?

    A+
    HK.


    Hicham KADIRI | Just Another IT Guy

    vendredi 5 septembre 2014 20:27
  • bonsoir;je cherche le id qui m'affiche le user qui a acceder au pc a distance sur le pc merci


    Partager c'est avancer : Votez!SVP

    vendredi 5 septembre 2014 21:48
  • normalement, si l'utilisateur est connecté (session active) il suffit de lancer l'invite de commande (cmd.exe) en tant qu'Administrateur, et depuis l'invite de commande vous saisissez : Query Session

    Vous aurez ensuite la liste des sessions TSE ou console (local) avec les noms d'utilisateur et les ID de session.

    A+
    HK.

     

    Hicham KADIRI | Just Another IT Guy

    vendredi 5 septembre 2014 23:10
  • bonjour

    merci pour le retour, je cherche un historique des users connectés ?

    une idée svp ?

    merci


    Partager c'est avancer : Votez!SVP

    mardi 9 septembre 2014 07:33
  • Bonjour Nabil,

    As-tu regradé dans eventlog/ Securité? logon!!

    A+


    L’information n’a de valeur que si elle est partagée!! AK

    mardi 9 septembre 2014 07:39
  • Bonjour Ahmed ;

    justement d'ou ma question, je cherche le bon ID, dans le journale eventlog security ?

    merci d'avance


    Partager c'est avancer : Votez!SVP

    mardi 9 septembre 2014 07:52
  • Donc tu cherches les sid de tous les utilisateurs?

    si c'est le cas voici une commande qui va te retourner tous les id usrs:

    Sur  un AD:

    Get-ADUser -Filter {Name -like "*"} | Select Name,SID | Format-Table -Auto

    Sur Un serveur:

    wmic useraccount get name,sid

    A+


    L’information n’a de valeur que si elle est partagée!! AK

    mardi 9 septembre 2014 08:15
  • Bonjour ;

    merci pour les commandes utiles, juste pour me faire comprendre

    sur la machine d'un user , une personne à accéder à distance avec un outils tiers piraté  ( nous utilisons SCCM) pour les remotes avec l'option approuvé

    donc je cherche un évènement sur la machine en question qui me donne l’utilisateur qui a accéder sur ce denier

    merci


    Partager c'est avancer : Votez!SVP

    mardi 9 septembre 2014 08:21
  • Désolé pour le retard concernant ma réponse, je suis trop pris chez un client ...

    Bon, il faut savoir qu'il n'y a pas d'outils "GUI" ou en ligne de commande nous permettant d'afficher un historique des sesssions quand les sessions sont plus actives.

    En revanche, depuis l'observateur d'événément, nous avons des logs spécifiques aux connexions bureau à distance, c'est une sorte d'historique vous indiquant les comptes d'utilisateurs qui se connectés à quelle heure se sont déconnectés ..Etc.

    Procédure

    > Depuis le PC W7 en question, cliquer sur le menu Démarrer

    > Saisissez ensuite eventvwr.msc

    > L'observateur d'événement s'ouvre

    > Naviguez ensuite jusqu'au : Journaux d'Applications & Services

    > Développez Journaux d'applications & services et cliquez sur Microsoft et ensuite Windows

    > Enfin chercher "TerminalService-LocalSessionManager" ensuite cliquez sur Opérationnel

    > et là, vous allez retrouver tous les logs de connexion et déconnexion aussi, voir exemple ci-après, on voit bien que le user DOMAIN\hikadiri s'est connecté avec succès à l'heure indiqué dans l'évent. (9h11).

    A+
    HK.


    Hicham KADIRI | Just Another IT Guy

    • Marqué comme réponse Nabil-IT mardi 9 septembre 2014 08:36
    mardi 9 septembre 2014 08:33
  • Bonjour Hicham<o:p></o:p>

    merci beaucoup pour le retour , ça correspond a mes
    recherches :)

    mes salutations <o:p></o:p>



    Partager c'est avancer : Votez!SVP

    mardi 9 septembre 2014 08:36