atarjono
Mar 09, 2022
view3460
view13
0
Goto Top

RDP: Quelluser auslesen?

GermansolvedQuestionWindows ServerMicrosoft
Hallo zusammen,

gibt es eine Möglichkeit, bei einer RDP Verbindung den Quelluser und nicht mit welchem User man sich mit RDP angemeldet hat, auszulesen?
Mit %CLIENTNAME% findet man ja immerhin den Namen des Quellpcs.
Ich bräuchte sowas wie %CLIENTUSER% oder so.

Klar könnte man mit dem PC-Namen, dann den "Hauptbenutzer" ermitteln...

Danke
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 2098551583

Url: https://administrator.de/contentid/2098551583

Printed on: April 28, 2024 at 11:04 o'clock

13 Comments
Latest comment
Goto Top
Member: NordicMike
NordicMike Mar 09, 2022 at 07:50:44 (UTC)
Goto Top
Es gibt den User, der auf der Konsole arbeitet, falls du den meinst.

Schau mal die Liste an mit dem Befehl:

qwinsta

oder

qwinsta /server:hostname
Member: em-pie
em-pie Mar 09, 2022 updated at 08:37:47 (UTC)
Goto Top
Moin,

@NordicMike
ich glaube er meint folgendes Konstrukt.
Mister X ist am Laptop NB4711 mit dem User xman angemeldet.
Dieser baut eine RDP-Session zum Server SRV0815 mit dem User magneto auf.

Jetzt will @atarjono in der Session von magneto wissen, wie der User auf NB4711 lautet (hier: xman).

Mir wäre da kein weg bekannt, was aber nichts heißen mag.


€dit:
OK. jetzt hab ichs Verstanden, @NordicMike
Setzt aber vermutlich voraus, dass ich passende Rechte auf dem Client hab!?
Mit
qwinsta /server:%clientname%
erhält man ein passables Ergebnis.

Gruß
em-pie
Member: NordicMike
NordicMike Mar 09, 2022 at 08:46:01 (UTC)
Goto Top
Mister X ist am Laptop NB4711 mit dem User xman angemeldet.
Dieser baut eine RDP-Session zum Server SRV0815 mit dem User magneto auf.
Wie, heisst der User nun xman oder magneto? Warum hat er mehrere Accounts?

Jetzt will @atarjono in der Session von magneto wissen, wie der User auf NB4711 lautet
Wie kommt atarjono in die Session von magneto rein? Per Teamviewer?

In diesem Fall muss er erst einmal ermitteln von wo die Session aufgebaut wurde
echo %CLIENTNAME%
in diesem Fall ist es das Notebook NB4711. Dann kann er schauen wer auf NB4711 angemeldet ist:
qwinsta /server:NV4711
Member: em-pie
em-pie Mar 09, 2022 at 08:51:57 (UTC)
Goto Top
Beachte mein edit face-smile

zum Rest:
Wie, heisst der User nun xman oder magneto? Warum hat er mehrere Accounts?
Habe ich auch: einen normalo User sowie einen Admin-User.
Und manchmal haben wir für usnere externen Dienstleister einen Sammeluser. Man könnte ja dann über ein LogonScript ermitteln, welcher Enduser sich gerade angemeldet hat.

Wie kommt atarjono in die Session von magneto rein? Per Teamviewer?
Muss er ja nicht. Es reicht ihm vermutlich die Info, wer der Uruser ist. Und das ginge ja per Script. Ich kann gerade nur nicht testen, wie es sich verhält, wenn ich von einem Nicht-AD-Client komme.
Member: NordicMike
NordicMike Mar 09, 2022 at 08:57:58 (UTC)
Goto Top
Ich kann gerade nur nicht testen, wie es sich verhält, wenn ich von einem Nicht-AD-Client komme.
Ich habe mich mal testweise auf einen RDP in einer nicht verbundenen Domain eingeloggt. %CLIENTNAME% wird übertragen, passt also.
Member: em-pie
em-pie Mar 09, 2022 at 08:59:55 (UTC)
Goto Top
Zitat von @NordicMike:

Ich kann gerade nur nicht testen, wie es sich verhält, wenn ich von einem Nicht-AD-Client komme.
Ich habe mich mal testweise auf einen RDP in einer nicht verbundenen Domain eingeloggt. %CLIENTNAME% wird übertragen, passt also.

%Clientname% klappt immer. klappt auch das?
qwinsta /server:%clientname%
Member: NordicMike
NordicMike Mar 09, 2022 updated at 09:10:13 (UTC)
Goto Top
qwinsta /server:%clientname%
Wird schon am DNS und der Suchsuffix scheitern. Normalerweise sucht er den Hostnamen im DNS des AD.

qwinsta /server:NB4711.andere.domain.de oder
qwinsta /server:%CLIENTNAME%.andere.domain.de

Endet bei mir auf jeden Fall mit
Fehler beim Abrufen der Sitzungsnamen
Zugriff verweigert
Member: em-pie
em-pie Mar 09, 2022 at 09:34:10 (UTC)
Goto Top
Dachte ich mir.

Naja. dann haben wir das ja für den TO hervorragend ausgearbeitet und getestet.
Es war mir eine Freude face-smile
Member: atarjono
atarjono Mar 09, 2022 updated at 13:12:02 (UTC)
Goto Top
Ui das ging aber schnell...
Ok jetzt bisschen Hintergrund:
"Horst" ist an seinem PC (PC07223) mit "horst" angemeldet.
Jetzt macht er einen RDP auf (PC01234) mit dem lokalen Benutzer "Benzin".

Ich hätte gerne folgende Info:
Uhrzeit/Datum PC01234 "original Benutzer (hier: Horst)"

"qwinsta /server:%clientname%" klappt leider nicht:

C:\Users\pvs>qwinsta /server:hostname
Fehler 1722 beim Abrufen der Sitzungsnamen
Fehler [1722]:Der RPC-Server ist nicht verfügbar.

C:\Users\pvs>qwinsta /server:%clientname%
Fehler 1722 beim Abrufen der Sitzungsnamen
Fehler [1722]:Der RPC-Server ist nicht verfügbar.

Die RDP VM ist kein Serverbetriebssystem und ist auch nicht in der Domäne.

Bis jetzt habe ich folgendes "gebaut":
date /t >> C:\tmp\%computername%.txt
time /t >> C:\tmp\%computername%.txt
echo %CLIENTNAME% >> C:\tmp\%computername%.txt
echo --- >> C:\tmp\%computername%.txt

Rauskommen tut dann:
09.03.2022
09:20
PC07223

Anhand des Dateinamens weiss ich ja welchen "RDP-Server" benutzt wird.
Da bei uns aber ein paar Mitarbeiter sich einen PC teilen, kann ich nicht immer 100% bestimmen, wer wirklich davor sitzt.

Falls ihr fragt, warum ich das brauche:
Wir haben gefühlt 100VM und wir wissen nicht, ob wirklich alle noch benutzt werden^^

Dachte ich könnte da so in "Aufgabenplanung" rein packen, aber 
echo %CLIENTNAME%
mag es wohl nicht.
Mal sehen was ich da mache...
Member: em-pie
em-pie Mar 09, 2022 updated at 13:11:51 (UTC)
Goto Top
Wir haben gefühlt 100VM und wir wissen nicht, ob wirklich alle noch benutzt werden^^
Das kann man ermitteln, in dem das Eventlog per Powershell ausgewertet wird.
Hier gibt es ein Script, welches auf den ersten Blick ganz gut aussieht: https://thesysadminchannel.com/get-computer-last-login-information-using ...

Oder man fährt einfach mal alle VMs herunter und sieht dann, wer alles schreit...

Edit:
date /t >> C:\tmp\%computername%.txt
time /t >> C:\tmp\%computername%.txt
echo %CLIENTNAME% >> C:\tmp\%computername%.txt
echo --- >> C:\tmp\%computername%.txt
Andere das mal in
SET d= date /t
SET t= time /t
echo %d% %t%;%CLIENTNAME% >>C:\tmp\%computername%.csv
ab.

Dann kannst du am Ende alles bequem per Powershell auswerten face-wink
Member: atarjono
atarjono Mar 09, 2022 updated at 13:26:44 (UTC)
Goto Top
SET d= date /t
SET t= time /t
echo %d% %t%;%CLIENTNAME% >>C:\tmp\%computername%.csv
Hmm anscheint mag er die Variablen nicht, denn folgendes kommt raus:
"date /t time /t;HOSCHI-PC"

Wegen Powershell:
Komischerweise kennt mein PC "Get-LastLoginInfo" gar nicht.

Oder man fährt einfach mal alle VMs herunter und sieht dann, wer alles schreit...
Das habe ich auch schon vorgeschlagen..
Das Problem ist aber, dass man das dann alle 6 Monate machen muss^^
Mitglied: 1915348599
1915348599 Mar 09, 2022 updated at 13:41:19 (UTC)
Goto Top
Wir haben gefühlt 100VM und wir wissen nicht, ob wirklich alle noch benutzt werden^^
Hatten wir erst hier
Letzte Logins der 30 Tage
An- und Abmelde Ereignisse mit Powershell auslesen
Member: em-pie
Solution em-pie Mar 09, 2022 at 13:42:32 (UTC)
Goto Top
hab gepennt...
Mach es so:
SET d=%date%
SET t=%time:~0,8%
echo %d% %t%;%CLIENTNAME% >>C:\tmp\%computername%.csv
Zeile 2 sorgt dafür, dass du nur HH:MM:SS erhältst (starte bei Zeichen 0 und verwende die nächsten 8)
heart1
GermansolvedQuestionWindows ServerMicrosoft
Hotly discussed
admtechDeveloper diary: Release 6.1admtechDaniEnd of availability for classic Teams clientDani