Примечание. Windows Server 2012 объединяет DirectAccess и службу удаленного доступа (RAS) в одну роль удаленного доступа.
Консоль управления на сервере удаленного доступа можно использовать для мониторинга активности и состояния удаленного клиента.
Для выполнения задач, описанных в этой статье, необходимо войти в систему в качестве члена группы администраторов домена или члена группы «Администраторы» на каждом компьютере. Если вы не можете выполнить задачу во время входа с помощью учетной записи, являющейся членом группы «Администраторы», попробуйте выполнить задачу во время входа с учетной записью, которая является членом группы администраторов домена.
Мониторинг активности и состояния удаленного клиента
- В диспетчере серверов щелкните Средства и выберите пункт Управление удаленным доступом.
- Щелкните «ОТЧЕТЫ «, чтобы перейти к отчетам удаленного доступа в консоли управления удаленным доступом.
- Щелкните «Состояние удаленного клиента «, чтобы перейти к удаленному действию клиента и пользовательскому интерфейсу состояния в консоли управления удаленным доступом.
- Вы увидите список пользователей, подключенных к серверу удаленного доступа, и подробные статистические данные о них. Щелкните первую строку в списке, соответствующую клиенту. При выборе строки на панели предварительного просмотра отображается действие удаленного пользователя.
Windows PowerShell эквивалентные команды
Я скачал вирус на свой пк
Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.
PS> Get-RemoteAccessConnectionStatistics
Статистику пользователя можно отфильтровать на основе выбранных критериев с помощью полей в следующей таблице.
| Имя пользователя | Имя пользователя или псевдоним удаленного пользователя. Для выбора группы пользователей можно использовать подстановочные знаки, например contoso* или *администратор. |
| Имя узла | Имя учетной записи компьютера удаленного пользователя. Также можно указать IPv4 или IPv6-адрес. |
| Тип | DirectAccess или VPN. Если выбран параметр DirectAccess, перечислены все удаленные пользователи, подключенные с помощью DirectAccess. При выборе VPN перечислены все удаленные пользователи, подключенные с помощью VPN. |
| ISP-адрес | IPv4- или IPv6-адрес удаленного пользователя. |
| IPv4-адрес | Внутренний IPv4-адрес туннеля, который подключает удаленного пользователя к корпоративной сети. |
| IPv6-адрес | Внутренний IPv6-адрес туннеля, через который удаленный пользователь подключается к корпоративной сети. |
| Протокол/туннель | Технология перехода, используемая удаленным клиентом. Это Teredo, 6to4 или IP-HTTPS для пользователей DirectAccess, и это PPTP, L2TP, SSTP или IKEv2 для пользователей VPN. |
| К ресурсу получен доступ | Все пользователи, осуществляющие доступ к конкретному корпоративному ресурсу или конечной точке. Значение, соответствующее этому полю, — это имя узла или IP-адрес сервера. |
| Сервер | Сервер удаленного доступа, к которому подключаются клиенты. Относится только к кластерам и многосайтовым развертываниям. |
Псевдо-вирус на python
Источник: learn.microsoft.com
ILYA Sazonov: ITPro
Иной раз на форумах Technet-RU попадаются интересные вопросы. И ответы. Вот один из них: как узнать кто и откуда подключался к серверу по RDP?
Оказывается не обязательно анализировать журнал Security и события входа в систему. Есть более удобный способ.
Diagnostics -> Event Viewer -> Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-RemoteConnectionManager->Operational
и смотрим события с номером Event Id 1149. Для удобства можно отфильтровать журнал по событию с этим номером.
Если же интересует более конкретный вопрос, например, входы интересующего нас пользователя, то вместо стандартного фильтра придется использовать запрос в формате XML:
В событии с номером 1149 есть следующие параметры:
Param1 логин пользователя
Param2 имя домена логина пользователя
Param3 IP-адрес с которого заходил пользователь
Как видите можно использовать Param3 и узнать были ли подключения с конкретного адреса.
Вместо заключения.
Раньше поражало количество событий, которые пишет в журналы Windows. Теперь дополнительно к этому поражает количество журналов событий! Не знаю, как в этом ориентироваться, но главное это есть и, если повезет найти, это можно с пользой использовать.
Источник: isazonov.wordpress.com
Как узнать кто заходил на сервер windows 2008
Как в rdp Server 2008 посмотреть историю действий пользователей?
Например так:
Панель управления> Администрирование> Просмотр событий. Из консоли — get-eventlog -logname . имя пользователя | Export-Csv c:1.txt -Encoding UTF8 данные сохраняются в текстовый документ.
Как понять, что с вашего компьютера майнят?
1 1 · Хороший ответ
Что такое VPN и для чего он нужен?
VPN (Virtual Private Network — виртуальная частная сеть) это технология которая позволяет обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети. VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть. Если сказать простыми словами VPN — это защищённый тунель. 1 1 4 · Хороший ответ
Что означает предупреждение: «проверьте настройки прокси-сервера и брандмауэра»?
Это означает невозможность доступа браузера(любой другой программы) вашего компьютера к интернет-контенту, по причине блокировки этой программы настройками Брандмауэра Windows, или изменением настроек подключенного прокси-сервера. 2 9 · Хороший ответ
Как войти в windows 10 под другим пользователем, если нет вариантов при запуске, а в системе эти пользователи есть?
Это из за настроек на вход в систему, можно поменять, если надо. Для смены активного пользователя удерживая клавишу ‘Windows’ нажимайте «L». Удачи.
Каким образом сотрудники Microsoft имеют доступ к вашей системе через RDP (удалённый рабочий стол)?
Блокируем подключения по RDP учётным записям с пустым паролем. Мелочь, а забывать про неё не нужно. Для блокировки подключения учёток без паролей к RDP надо зайти в настройку объекта групповой политики: Конфигурация Компьютера -> Настройки Windows -> Параметры Безопасности -> Локальные Политики -> Параметры Безопасности и установить“Учетные записи: ограничить использование учетной записи из пустых паролей только для консольного входа” в включен . Не поленитесь проверить, что это так и есть. Источник
Как в rdp Server 2008 посмотреть историю действий пользователей?
Например так: Панель управления> Администрирование> Просмотр событий. Из консоли — get-eventlog -logname . имя пользователя | Export-Csv c:1.txt -Encoding UTF8
данные сохраняются в текстовый документ.
Как понять, что с вашего компьютера майнят?
1 1 · Хороший ответ
Что означает предупреждение: «проверьте настройки прокси-сервера и брандмауэра»?
Это означает невозможность доступа браузера(любой другой программы) вашего компьютера к интернет-контенту, по причине блокировки этой программы настройками Брандмауэра Windows, или изменением настроек подключенного прокси-сервера. 2 9 · Хороший ответ
Что такое VPN и для чего он нужен?
VPN (Virtual Private Network — виртуальная частная сеть) это технология которая позволяет обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети. VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть. Если сказать простыми словами VPN — это защищённый тунель.
1 1 4 · Хороший ответ
Как войти в windows 10 под другим пользователем, если нет вариантов при запуске, а в системе эти пользователи есть?
Это из за настроек на вход в систему, можно поменять, если надо. Для смены активного пользователя удерживая клавишу ‘Windows’ нажимайте «L». Удачи.
Каким образом сотрудники Microsoft имеют доступ к вашей системе через RDP (удалённый рабочий стол)?
Блокируем подключения по RDP учётным записям с пустым паролем. Мелочь, а забывать про неё не нужно. Для блокировки подключения учёток без паролей к RDP надо зайти в настройку объекта групповой политики: Конфигурация Компьютера -> Настройки Windows -> Параметры Безопасности -> Локальные Политики -> Параметры Безопасности и установить“Учетные записи: ограничить использование учетной записи из пустых паролей только для консольного входа” в включен . Не поленитесь проверить, что это так и есть. Источник
Как определить кто открыл файлы в сетевой папке и сбросить сессии пользователя в Windows Server
Администраторы файловых серверов Windows часто сталкиваются с необходимостью принудительного закрытия файлов, открытых пользователями. Такая задача возникает при одновременной работы с одним файлом нескольких пользователей. Часто при некорректной работе ПО или неправильном завершении сессии пользователем, файлы в сетевой папке оказываются открытыми и заблокированными, и остальные пользователи не могут вносить в него изменения. В этой статье мы покажем, как получить список открытых файлов на файловом сервере, узнать какие пользователи их используют, и способы сброса этих файловых сессий.
Вывести список открытых файлов на файловом сервере Windows
Список открытых пользователями файлов на файловом сервере Windows можно получить с помощью стандартной графической консоли Computer Management (Управление компьютером — compmgmt.msc ). Запустите на файловом сервере консоль Computer Management (или подключитесь к нему удаленно консолью со своего компьютера) и перейдите в секцию System Tools -> Shared Folders -> Open files (Служебные программы -> Общие папки -> Открыты файлы). В правой части окна отображается список файлов сервера, открытых удаленно . Список содержит локальный путь к файлу, имя учетной записи пользователя, количество блокировок и режим, в котором открыт файл (Read или Write+Read). Этот же список открытых файлов можно получит с помощью встроенной консольной утилиты Openfiles . Например, с помощью следующей команды можно получить id сессии, имя пользователя и полный локальный путь к открытому файлу: Openfiles /Query /fo csv |more При удаленном доступе пользователя к папке или файлу в сетевой папке (SMB) на сервере, для пользователя создается новая сессия, определяющая данное подключение. Управление подключениями пользователей осуществляется именно через эти идентификаторы сессий. Эту же команду можно выполнить удаленно, например, нужен список открытых файлов на файловом сервере mskfs01: Openfiles /Query /s mskfs01 /fo csv
У команды Openfiles есть еще одна интересная возможность просмотра списка локально открытых файлов. Для ее использования нужно включить опцию Maintain Objects List (Построение списка объектов) командой openfiles /local on и перезагрузить сервер. После этого в список начнут попадать файлы, открытые локальными процессами (этот режим желательно использовать только для отладки, т.к. может негативно сказаться на производительности сервера).
Как определить какой пользователь открыл файл
Чтобы определить пользователя, который открыл (заблокировал) файл cons.adm на сервере, выполните команду: Openfiles /Query /s mskfs01 /fo csv | find /i «cons.adm» Ключ /i используется, чтобы выполнялся регистронезависимый поиск Естественно, можно указать только часть имени файла. К примеру, нам нужно узнать кто открыл xlsx файл, в имени которого есть строка farm, воспользуемся таким конвейером: Openfiles /Query /s mskfs01 /fo csv | find /i «farm»| find /i «xlsx» Можно, конечно найти файл и в графической консоли Computer Management, но это менее удобно (консоль не предусматривает возможность поиска).
Как закрыть открытый файл
Как удаленно закрыть открытые файлы с помощью PowerShell
В Windows Server 2012 / Windows 8 в PowerShell появились командлеты для работы с шарами и файлами на SMB сервере. Данные командлеты можно использовать для удаленного сброса подключений к открытому файлу. Список открытых файлов можно получить с помощью командлетов Get- SMBOpenFile , а закрыть файл (сбросить подключение) с помощью Close-SmbOpenFile .
Источник: onecomp.ru