windows – 如何查找发送shutdown命令的pc的ip地址?
我是学校的系统管理员.我们在一个域中有一台带有20台PC的教室,所有PC都使用同一个用户登录.
有时学生使用shutdown命令关闭其他学生的PC. 在已关闭的PC的系统事件日志中,我可以找到ID为1074的事件. 有什么建议?或者以其他方式找出是谁做的? 谢谢!
将我的评论/想法转换为答案.
看来你已经给了所有的学生: >对所有计算机的管理控制. 这可能是典型教室环境中的次优配置. 虽然您声称学生不是计算机上的管理员,但默认情况下,只有Administrators组才有权强制从远程系统关闭计算机.检查适用的本地安全策略或组策略中的“用户权限分配”类别: 现在,为了更直接地回答您的问题,现在计算机上可能没有足够的取证证据来确定发出关机命令的计算机.可以启用更多日志记录,以便将来捕获这些事件,但现在启用此类日志记录将无法帮助您了解过去发生的情况.具体来说,我正在考虑的日志记录可以帮助您进入高级审计策略部分(这些只是示例,而不是详尽的列表) >审核RPC事件 远程关闭使用RPC,所以肯定会显示一些东西.当Windows防火墙允许入站连接时进行日志记录绝对会为您提供IP地址.您可以关联事件. 以下是配置高级审核策略的分步指南: https://technet.microsoft.com/en-us/library/dd408940%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396 编辑:更新以确认从Windows 8.1开始,事件日志实际上包括启动关闭的远程系统的IP地址. (默认情况下,无需启用任何其他日志记录.)但我不知道Windows的旧版本是否包含IP地址. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- .net – Windows Phone WebBrowser设置cookie
- 在Windows XP下安装Apache+MySQL+PHP环境
- windows-server-2008-r2 – Windows 2008 R2如何运行32位应
- windows – 如何在控制台程序中为DirectSound SetCooperati
- windows – 大写文件名的第一个字母
- windows – 如何读取GPU(显卡)温度?
- Windows上的16TB卷和SNMP
- sublimetext2 – Sublime Linter在Windows中不工作
- date – 检查文件是否在过去xx天后被修改
- 运行命令/脚本时锁/解锁Windows站?