windows – 如何查找发送shutdown命令的pc的ip地址？

看来你已经给了所有的学生：

>对所有计算机的管理控制.
>匿名,允许他们共享相同的管理员帐户.

这可能是典型教室环境中的次优配置.

虽然您声称学生不是计算机上的管理员,但默认情况下,只有Administrators组才有权强制从远程系统关闭计算机.检查适用的本地安全策略或组策略中的“用户权限分配”类别：

现在,为了更直接地回答您的问题,现在计算机上可能没有足够的取证证据来确定发出关机命令的计算机.可以启用更多日志记录,以便将来捕获这些事件,但现在启用此类日志记录将无法帮助您了解过去发生的情况.具体来说,我正在考虑的日志记录可以帮助您进入高级审计策略部分(这些只是示例,而不是详尽的列表)

>审核RPC事件
>审核筛选平台连接(Windows防火墙)

远程关闭使用RPC,所以肯定会显示一些东西.当Windows防火墙允许入站连接时进行日志记录绝对会为您提供IP地址.您可以关联事件.

以下是配置高级审核策略的分步指南：

https://technet.microsoft.com/en-us/library/dd408940%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

编辑：更新以确认从Windows 8.1开始,事件日志实际上包括启动关闭的远程系统的IP地址. (默认情况下,无需启用任何其他日志记录.)但我不知道Windows的旧版本是否包含IP地址.