在RDP会话Windows server 2012中查找用户断开连接时间

Question

我们有一个开发机器池,开发人员通过RDP登录,通常他们不会注销但只是断开连接.作为本地管理员,我可以强制注销,但我想检查用户何时断开连接.

从任务管理器,我只能看到用户名及其状态

有没有办法发现用户在使用任务管理器,PowerShell,cmd或其他什么时断开连接？

Answer 1

您可以使用Windows命令查询用户UserName/server:ServerName,也可以只输入查询用户/服务器:ServerName以查找所有活动或断开连接的会话.

下面是示例输出,我已经模糊了我的隐私信息:

我还创建了一个自动执行此任务的PowerShell脚本,这里是链接Powershell以找出断开连接的RDP会话并同时注销

Answer 2

据我所知，这不在安全日志中。正确的查找位置是在“操作日志”Microsoft Event Viewer下Applications and Services Logs => Microsoft => Windows => TerminalServices-LocalSessionManager => Operational，然后在“操作日志”下。

要查找的 eventID 是 ID24（已断开的用户会话）。EventID 25 是重新连接。