在 RDP 会话 Windows Server 2012 中查找用户断开连接时间

Posted

技术标签:

【中文标题】在 RDP 会话 Windows Server 2012 中查找用户断开连接时间【英文标题】:find user disconnection time in RDP session Windows server 2012 【发布时间】:2015-08-24 08:29:09 【问题描述】:

我们有一个开发机器池,开发人员通过 RDP 登录,通常他们不会注销,只是断开连接。作为本地管理员,我可以强制注销,但我想检查用户何时断开连接。

在任务管理器中我只能看到用户名及其状态

有没有办法使用任务管理器、powershell、cmd 或其他工具来发现用户何时断开连接?

【问题讨论】:

【参考方案1】:

您可以使用 windows 命令 query user UserName /server:ServerName 也可以直接输入 query user /server:ServerName 找出所有活动的或断开的会话。

以下是示例输出,出于隐私考虑,我已经模糊了我的信息:

我还创建了一个 PowerShell 脚本来自动执行此任务,这里是链接Powershell to find out disconnected RDP session and log off at the same time

【讨论】:

【参考方案2】:

据我所知,这不在安全日志中。寻找的正确位置是在Microsoft Event Viewer 下的Applications and Services Logs => Microsoft => Windows => TerminalServices-LocalSessionManager => Operational 下,然后在操作日志下。

要查找的 eventID 是 ID24(断开的用户会话)。 EventID 25 是重新连接。

【讨论】:

完美,谢谢!我更正了路径,它不完整。在那个视图中,我只能找到真正的用户连接,这正是我所寻找的【参考方案3】:

您可以启动 Windows 事件查看器并检查 Windows logs --> Security。按'Task Category = Logoff'过滤。

您可以将其导出为 xml 以便于阅读。

【讨论】:

你为什么不编辑你以前的答案并包含这个,而不是发布两个答案(它们是相同的)? ok 答案几乎是正确的,当然我找不到注销,因为他没有注销,只是断开了连接。无论如何我找不到任何细节,我的安全日志历史太短了 注销与 RDP 中的断开连接完全不同。【参考方案4】:

开始-->运行-->Eventvwr-->Windows 日志-->安全。按“任务类别 = 注销”过滤

【讨论】:

以上是关于在 RDP 会话 Windows Server 2012 中查找用户断开连接时间的主要内容,如果未能解决你的问题,请参考以下文章

修改Windows server 2008远程桌面连接数量

WindowsWindows server2008远程桌面只允许同时存在一个会话

Windows server 2012远程桌面服务(RDP)存在SSL / TLS漏洞的解决办法

Windows Server 2012 通过 RDP 强制字体平滑(抗锯齿)

windows server 2008 R2 远程连接用户数修改

批处理文件仅在 RDP 会话处于活动状态时执行