locked
是否可以設定rdp遠端連線(我是指這一台電腦連線到別人的紀錄) RRS feed

  • 問題

  • 各位好

          因為公司某一台電腦會連線到遠端的一台多台主機,包含外部非公司的電腦...

    小弟知道可以在windows OS上設定誰登入到該主機,包含RDP..但是因為有一些電腦不是我能掌控與設定...

    所以想反向的在可以發動遠端桌面的主機可否有紀錄說何時啟用了遠端桌面這隻程式以及他連線到哪些地方...

    這是有可能可以設定的嗎??

    感謝!!~~~


    wyldkao

    • 已變更類型 George.Chang 2014年12月9日 上午 04:05 Customer Discontinued
    • 已變更類型 George.Chang 2014年12月10日 上午 03:58 問題排除
    2014年11月26日 上午 03:05

解答

  • Hi wyldkao

    確認在Windows 7上連線確實有4648的紀錄,可以從"目標伺服器"這個欄位去判斷,如果是localhost就表示登入您這部電腦的資訊,就可以直接忽略,另外您要確認連線登入必須要有成功才會有4648的log,如果只是連線但沒有登入成功是不會有這個紀錄的,要不然就是您將安全性的紀錄全部上傳到網路空間,我可以幫您看看,您也可以在其他電腦上確認看看。


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    • 已標示為解答 wyldkao 2014年12月10日 上午 05:17
    2014年12月9日 上午 08:52

所有回覆

  • Hi wyldkao

    關於您的需求目前找到可以從事件檢視器下的安全性看出登入的資訊

    篩選事件識別碼4648,內容也包含登入這部電腦的紀錄,您可以注意下圖紅色框框內的資訊,

    如果是這部電腦的使用者,透過其他帳號去登入另一部電腦,

    就可以看到登入的帳號和目標伺服器,

    如果目標伺服器為localhost或是這部電腦的名稱,您可以略過這些資訊

    因為這是本機電腦的登入紀錄


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.


    2014年11月27日 上午 06:45
  • 您好,歡迎您將後續測試結果回報至論壇,或將對您有幫助的回覆標示為解答,以利討論的進行並幫助其他有類似問題的朋友。謝謝您!

    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2014年12月1日 上午 08:00
  •  您好

          感謝您的回覆,但是小弟就是因為因為無法順利的touch到該主機...且可能會被要求做事後追蹤...

    所以才說可否從我這邊的主機能否有任何log可以記錄使用者啟用rdp的紀錄以及連線到哪些遠端主機的紀錄

    wyldkao


    wyldkao

    2014年12月2日 上午 12:51
  • Hi wyldkao

    上面的紀錄就是可以在您的主機,查詢到使用者使用rdp連線到其他電腦的登入紀錄。


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2014年12月2日 上午 02:40
  •  您好

          我剛剛在我常執行遠端桌面功能的Win7主機上,我利用[篩選]4648去檢視安全性事件,沒有產生該事件...(我確認過我至少昨天已經執行了三次以上的遠端桌面),還是我需要在local GLO中啟用相關設定??

    感謝


    wyldkao

    2014年12月4日 上午 07:49
  • Hi wyldkao

    那您可能有篩選錯,4648這個事件只要您有做登入,不論是透過遠端桌面登入或是您自己的帳號登入這部電腦,都可以產生這個事件,這個事件並不需要透過GPO開啟進階的稽核,一般電腦上都會有這個事件。


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2014年12月4日 上午 09:44
  •  您好

          我重新確認...的確我有產生4648的事件...但是似乎都是像網芳 (網路磁碟機Z: )以及防毒主機去更新病毒碼 以上的行為去遠端主機進行認證...但是我執行了多次mstsc遠端桌面用戶端去連線公司內部的Domain Controller...都沒有產生4648的事件在我執行mstsc的工作站上

         另外我利用mstsc去搜尋...倒是搜尋到4688的事件紀錄..只是這記錄只說明了我[已建立新的處理程序],後續沒有提到我利用此mstsc 登入到哪一台主機去

    我的工作站是Win7 Sp1 x64企業版(遠端連線的遠方主機基本上都是winxp Pro Sp3 x32 or win2003 Sp2 x32)

    wyldkao


    wyldkao

    2014年12月9日 上午 06:51
  • Hi wyldkao

    確認在Windows 7上連線確實有4648的紀錄,可以從"目標伺服器"這個欄位去判斷,如果是localhost就表示登入您這部電腦的資訊,就可以直接忽略,另外您要確認連線登入必須要有成功才會有4648的log,如果只是連線但沒有登入成功是不會有這個紀錄的,要不然就是您將安全性的紀錄全部上傳到網路空間,我可以幫您看看,您也可以在其他電腦上確認看看。


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    • 已標示為解答 wyldkao 2014年12月10日 上午 05:17
    2014年12月9日 上午 08:52
  • 您好

         相當感謝您,我測試了2003Sp2/2008R2/2012R2三種OS type...都使用mstsc.exe 遠端桌面登入

    其中2008R2/2012R2 不管是重新登入或者是斷線後重新連線..都會出現如您所提到的4648事件,所以您說的對

    但是2003Sp2則登入會出現4624/25 以及4776的事件(就是沒有4648的事件),但是如果是斷線後重新連線登入...則不會有任何上述的事件產生

    wyldkao


    wyldkao

    2014年12月9日 上午 10:03
  • Hi wyldkao

    2003確實沒有看到類似的事件,那表示這個事件的產生可能是在後續的系統上才有的設計。


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2014年12月9日 上午 10:34
  • 感謝您的方法提供與協助確認...

    我想把您的回覆設定為解答..但是我沒看到設為答案的類似功能鍵耶!~~


    wyldkao

    2014年12月10日 上午 02:18
  • Hi wyldkao

    已經修改回問題類型,在麻煩您將有幫助的回覆"標示為解答"


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2014年12月10日 上午 03:59