在 RDP 会话 Windows Server 2012 中查找用户断开连接时间

Posted 2023-03-14

【中文标题】在 RDP 会话 Windows Server 2012 中查找用户断开连接时间

【英文标题】：find user disconnection time in RDP session Windows server 2012

【发布时间】：2015-08-24 08:29:09

【问题描述】：

我们有一个开发机器池，开发人员通过 RDP 登录，通常他们不会注销，只是断开连接。作为本地管理员，我可以强制注销，但我想检查用户何时断开连接。

在任务管理器中我只能看到用户名及其状态

有没有办法使用任务管理器、powershell、cmd 或其他工具来发现用户何时断开连接？

【参考方案1】：

您可以使用 windows 命令 query user UserName /server:ServerName 也可以直接输入 query user /server:ServerName 找出所有活动的或断开的会话。

以下是示例输出，出于隐私考虑，我已经模糊了我的信息：

我还创建了一个 PowerShell 脚本来自动执行此任务，这里是链接Powershell to find out disconnected RDP session and log off at the same time

【参考方案2】：

据我所知，这不在安全日志中。寻找的正确位置是在Microsoft Event Viewer 下的Applications and Services Logs => Microsoft => Windows => TerminalServices-LocalSessionManager => Operational 下，然后在操作日志下。

要查找的 eventID 是 ID24（断开的用户会话）。 EventID 25 是重新连接。

【讨论】：

完美，谢谢！我更正了路径，它不完整。在那个视图中，我只能找到真正的用户连接，这正是我所寻找的

【参考方案3】：

您可以启动 Windows 事件查看器并检查 Windows logs --> Security。按'Task Category = Logoff'过滤。

您可以将其导出为 xml 以便于阅读。

【讨论】：

你为什么不编辑你以前的答案并包含这个，而不是发布两个答案（它们是相同的）？

ok 答案几乎是正确的，当然我找不到注销，因为他没有注销，只是断开了连接。无论如何我找不到任何细节，我的安全日志历史太短了

注销与 RDP 中的断开连接完全不同。

【参考方案4】：

开始-->运行-->Eventvwr-->Windows 日志-->安全。按“任务类别 = 注销”过滤