Überwachung RDP woher?

Moin,

hab hier einen W2K3 Server auf dem ich und andere sich per RDP einloggen.

In der Ereignisanzeige kann ich mir ja unter Security anschauen welcher User sich wann eingeloggt hat.

Wie kann ich feststellen von woher, also welchen Rechner aus sich der jenige eingeloggt hat.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 129275

Url: https://administrator.de/contentid/129275

Ausgedruckt am: 08.11.2024 um 07:11 Uhr

6 Kommentare

Neuester Kommentar

moin moin,

ich stand auch mal vor diesem Problem, ich habe es über ein einfaches Anmeldescript gelöst.

if [%clientname%]== set clientname=unbekannt
if [%sessionname:~0,3%]==[RDP] (echo "Am %Date% um %Time:~0,8% Uhr wurde sich von PC %clientname% über %sessionname:~0,3% auf PC/Server %computername% als %username% eingeloggt." >> "\\server\Remotelogs$\%date%.txt") else echo ""  
if [%sessionname:~0,3%]==[ICA] (echo "Am %Date% um %Time:~0,8% Uhr wurde sich von PC %clientname% über %sessionname:~0,3% auf PC/Server %computername% als %username% eingeloggt." >> "\\server\Remotelogs$\%date%.txt") else echo ""  

Da wir sowohl RDP als auch Citrix haben, habe ich mir das ganze zusätzlich nach Protokoll aufschlüsseln lassen.
Ich hoffe, du kannst damit was anfangen.

Sieht schon mal Klasse aus, aber wo werden die Logs geschrieben?

Die Logs landen in der versteckten Freigabe "Remotelogs$" auf "\\Server" und werden immer nach dem aktuellem Datum benannt , zb. 13.11.209.txt

Nochmal ´ne dumme Freigabe.

Ich sehe nur

ADMIN$
C$
IPC$

als Freigaben

Die Freigabe Remotelogs$ musst du selbst anlegen, die die du aufgezählt hattest, zählen zu den administrativen Freigaben, hier mal ne kleine Erklärung dazu:
http://support.microsoft.com/kb/314984/de
Dort steht auch, wie du selbst eine anlegen kannst.