Avatar billede mlj-foto Nybegynder
04. juli 2013 - 22:20 Der er 4 kommentarer

Hente desktop navn fra client der logger på RDP

Hej.

Sider men tanke.
Er det muligt via et loginscript at få oplysninger om den pc en bruger logger på når de tilgår RDP.

Vi har en Terminal server stående, men vi kunne godt tænke os at kunne logge hvor mange forskellige enheder der logger på denne server.

/MJ
Avatar billede chalde Seniormester
05. juli 2013 - 08:22 #1
Det kan klares med auditing:
http://bit.ly/13x12aL

For at få det samlet ud, så kan du rode lidt med powershell for at få de præcise ting samlet: http://blogs.technet.com/b/heyscriptingguy/archive/2010/06/01/hey-scripting-guy-how-can-i-read-from-windows-event-logs-with-windows-powershell-2-0.aspx
Avatar billede mlj-foto Nybegynder
08. juli 2013 - 16:29 #2
Problemet er, logger det ikke bare selve RDP serveren?

Vi har en Blanding af ipad, tyndeklienter, bærbare og alm pcer og mac der forbinder sig op på terminalserveren.

Vores ønske er at vi kan logge hvor mange enheder vi har aktive på den måde.
Avatar billede chalde Seniormester
08. juli 2013 - 17:13 #3
#2 Nej, du får også kilden med.
Det du skal kigge efter, er event id 4624 (An account was successfully logged on) og logontype 10 (RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance).
Så vil du i loggen bla. få "Source Network Address".

Se evt: http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4624

Alternativt (måske ligefrem nemmere, først lige testet den nu):
I event viewer gå til:
Applications and Services Logs -> Microsoft -> Windows -> TerminalServicesLocalSessionManager -> operational.
Kig efter Event ID 21, så får du:

Remote Desktop Services: Session logon succeeded:

User: DOMAIN\user
Session ID: x
Source Network Address: x.x.x.x


Lav evt. et custom view med følgende som du kan lave et udtræk af:

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Operational">
    <Select Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Operational">*[System[(Level=4 or Level=0) and (EventID=21)]]</Select>
  </Query>
</QueryList>


Det kan muligvis gøres nemmere, men ovenstående kan som udgangspunkt hjælpe.
Avatar billede mlj-foto Nybegynder
11. juli 2013 - 15:18 #4
Super fedt med custom view, ville være fedt hvis den s lavede ip om til maskin navn, især når folk kommer udefra.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester