Как узнать с какого терминала(тонкий клиент) пользователь заходил в windows?

@LastSoldier · Регистрация: 07.05.2013

Author24 — интернет-сервис помощи студентам

Есть сервер win 2012, через него работают 5 тонких клиентов ncomputing l300.
У каждого терминала есть имя и стический ip.
Пример:
В windows создано два пользователя Петя и Вася, каждый заходит на своем терминале, но как-то раз Петя украл пароль у Васи в 1с и зашел в 1с под Васей не на терминале Васи, а на своем терминале. Вот как можно проверить c какого терминала осуществлен вход в windows server 2012?
Настройка сервера терминалов производилась по этой инструкции http://tavalik.ru/ustanovka_se... rver_2012/
Смотрел в журнале windows
Server Manager -> Diagnostics -> Event Viewer -> Applications ans Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational
тут показано когда и какой пользователь заходил, но не указано с какого устройства(терминала) он осуществил вход или хотя бы с какого ip.

@KDE777 · 05.03.2016, 00:33

Сообщение от LastSoldier

Смотрел в журнале windows

Не там смотрели. Для любого Windows события о входе в систему записывается в:
Event Viewer -> Windows Logs -> Security

Успешный вход это - EventID 4624 (начиная с Win2008)
А среди EventID 4624 вам нужны - Logon Type 10 (RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance))

Там будет логин клиента, дата/время и IP его хоста.

Добавлено через 16 минут
Хотя странно почему не нашли нужных данных и в Applications and Services Logs... IP клиентов так же есть в:

Microsoft-Windows-TerminalServices-LocalSessionManager/Operational, EventID 21
Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational, EventID 1149

@LastSoldier · 05.03.2016, 12:43 **[ТС]**

Event Viewer -> Windows Logs -> Security я ничего тут не нашел кроме имени пользователя

Кликните здесь для просмотра всего текста

Как узнать с какого терминала(тонкий клиент) пользователь заходил в windows?

никакого ip нигде нету

Кликните здесь для просмотра всего текста

Если бы было все так просто, то я бы не создавал тему )

@KDE777 · 05.03.2016, 13:14

Сообщение от LastSoldier

Event Viewer -> Windows Logs -> Security я ничего тут не нашел кроме имени пользователя

Нужно событие 4624, у которого код входа 10

@LastSoldier · 05.03.2016, 16:47 **[ТС]**

KDE777,

Кликните здесь для просмотра всего текста

Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 04.03.2016 7:57:53
Код события: 4624
Категория задачи:Вход в систему
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: Enterprise
Описание:
Вход с учетной записью выполнен успешно.

Субъект:
ИД безопасности: СИСТЕМА
Имя учетной записи: ENTERPRISE$
Домен учетной записи: WORKGROUP
Код входа: 0x3E7

Тип входа: 10

Уровень олицетворения: Олицетворение

Новый вход:
ИД безопасности: ENTERPRISE\Term1
Имя учетной записи: Term1
Домен учетной записи: ENTERPRISE
Код входа: 0x4AF769
GUID входа: {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
Идентификатор процесса: 0x117c
Имя процесса: C:\Windows\System32\winlogon.exe

Сведения о сети:
Имя рабочей станции: ENTERPRISE
Сетевой адрес источника: 0.0.0.0
Порт источника: 0

Сведения о проверке подлинности:
Процесс входа: User32
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Никакой разницы нету, все равно ip 0.0.0.0

@KDE777 · 05.03.2016, 17:30

LastSoldier,

https://support.microsoft.com/en-us/kb/3097467

To resolve this issue, upgrade the RDP target computer to Windows 8 or Windows Server 2012 (or later). Or, disable RDP 8.0 in Windows 7 or Windows Server 2008 R2.

Пишут, что в этом случае нужно на клиенте - обновить ОС (до Win8 или выше) или отключить протокол RDP 8.0

@LastSoldier · 05.03.2016, 19:17 **[ТС]**

KDE777, windows server 2012 стоят самые последние обновления, а на клиентских машинах windows не стоит, потому что используется тонкий клиент, а не толстый.

@KDE777 · 05.03.2016, 19:37

Сообщение от LastSoldier

windows server 2012 стоят самые последние обновления

А проблема не в сервере, а в реализации RDP-протокола на стороне клиента...

Сообщение от LastSoldier

а на клиентских машинах windows не стоит, потому что используется тонкий клиент, а не толстый.

Что-бы не стояло не тонких клиентах, оно использует какую-то из реализаций RDP-протокола для подключения к серверу.

Вы читали, что написано по ссылке?

This issue occurs because of a code change in RDP 8.0. In RDP 8.0, the client IP address is stored in a WTS_SOCKADDR structure. This differs from RDP 7.0 (the default RDP version in Windows 7 and Windows Server 2008 R2).

In Windows 8 and Windows Server 2012 (and later versions of Windows), the code logic for logging this event is rewritten based on the new design. That prevents this issue from occurring.

Эта проблема возникает из-за изменения кода в RDP 8.0. В протоколе RDP 8.0, IP-адрес клиента хранится в структуре WTS SOCKADDR. Это отличается от протокола RDP 7.0

@LastSoldier · 05.03.2016, 20:19 **[ТС]**

KDE777, я там все прочитал, это не подходит.
ncomputing не использует стандартных протоколов удаленного управления системой (RDP [Remote Desktop Protocol] для ОС Windows и X11 — для Linux Xserver). Помимо клиентского терминала ncomputing включает в себя собственный терминальный сервер, причем как под ОС семейства Windows, так и под некоторые дистрибутивы Linux.
NComputing работают по протоколу WoIP (Windows over IP)

Добавлено через 19 минут
Сори, по протоколу UXP

@KDE777 · 05.03.2016, 20:32

Сообщение от LastSoldier

Помимо клиентского терминала ncomputing включает в себя собственный терминальный сервер

Очень здорово, что у ncomputing есть свой терминальный сервер, но вы писали:

Сообщение от LastSoldier

Настройка сервера терминалов производилась по этой инструкции http://tavalik.ru/ustanovka_se... rver_2012/

А там идёт речь идёт исключительно про развёртывание Microsoft Remote Desktop Services и никакой ncomputing не упоминается...

Сообщение от LastSoldier

Applications ans Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager

Опять же - это журнал Microsoft RDS-сервера

Или на Windows Server 2012 у вас установлен собственный терминальный сервер от ncomputing? Тогда можно предположить, что и журналы у него собственные...

@LastSoldier · 05.03.2016, 22:10 **[ТС]**

KDE777, http://www.foxnetwork.ru/index... --ncomputi вот как настраиваются терминалы.
Может Вы и правы что у Vspace ПО ncomputing есть свои логи, я их пока найти не смог, завтра еще раз на сервера посмотрю.

@KDE777 · 05.03.2016, 22:31

Сообщение от LastSoldier

http://www.foxnetwork.ru/index.php/c...e/77--ncomputi вот как настраиваются терминалы.

Ну так это совсем другое дело:

Работа L300 не возможна без подключения к серверу с предустановленным программным обеспечением vSpace.

Т.е. всеми подключениями управляет vSpace сервер, а вы сначала спрашивали про информацию об RDS-подключениях.

Вам нужно искать где журнал (если он есть) vSpace сервера...

@LastSoldier · 06.03.2016, 14:25 **[ТС]**

KDE777, не смог его найти может его там и вовсе нету.
Написал в техподдержку ncomputing, буду ждать ответа

@LastSoldier · 11.03.2016, 21:21 **[ТС]**

Пришел ответ техподдержки: их программа логи не пишет, но в будущем планируется добавить.
Значит я так понимаю что способа узнать когда пользователь заходил и с какого терминала (

@KDE777 · 14.03.2016, 10:33

Сообщение от LastSoldier

Значит я так понимаю что способа узнать когда пользователь заходил и с какого терминала

Когда и кто у вас в журналах видно, а вот с какого IP - получается, что нельзя, т.к. Windows Server не может взять эти данные из "чужого" протокола, а "родное" (vSpace) приложение журналов не пишет.

@KDE777 1885 / 1107 / 428 Регистрация: 22.01.2016 Сообщений: 3,050
	14.03.2016, 10:33	15
	Сообщение было отмечено LastSoldier как решение Решение Сообщение от LastSoldier Значит я так понимаю что способа узнать когда пользователь заходил и с какого терминала Когда и кто у вас в журналах видно, а вот с какого IP - получается, что нельзя, т.к. Windows Server не может взять эти данные из "чужого" протокола, а "родное" (vSpace) приложение журналов не пишет. 0

@LastSoldier 2 / 2 / 0 Регистрация: 07.05.2013 Сообщений: 146
		1
	Как узнать с какого терминала(тонкий клиент) пользователь заходил в windows? 04.03.2016, 19:41. Показов 15308. Ответов 14 Метки нет (Все метки) Есть сервер win 2012, через него работают 5 тонких клиентов ncomputing l300. У каждого терминала есть имя и стический ip. Пример: В windows создано два пользователя Петя и Вася, каждый заходит на своем терминале, но как-то раз Петя украл пароль у Васи в 1с и зашел в 1с под Васей не на терминале Васи, а на своем терминале. Вот как можно проверить c какого терминала осуществлен вход в windows server 2012? Настройка сервера терминалов производилась по этой инструкции http://tavalik.ru/ustanovka_se... rver_2012/ Смотрел в журнале windows Server Manager -> Diagnostics -> Event Viewer -> Applications ans Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational тут показано когда и какой пользователь заходил, но не указано с какого устройства(терминала) он осуществил вход или хотя бы с какого ip. 0

@KDE777 1885 / 1107 / 428 Регистрация: 22.01.2016 Сообщений: 3,050
	05.03.2016, 00:33	2
	Сообщение от LastSoldier Смотрел в журнале windows Не там смотрели. Для любого Windows события о входе в систему записывается в: Event Viewer -> Windows Logs -> Security Успешный вход это - EventID 4624 (начиная с Win2008) А среди EventID 4624 вам нужны - Logon Type 10 (RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance)) Там будет логин клиента, дата/время и IP его хоста. Добавлено через 16 минут Хотя странно почему не нашли нужных данных и в Applications and Services Logs... IP клиентов так же есть в: Microsoft-Windows-TerminalServices-LocalSessionManager/Operational, EventID 21 Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational, EventID 1149 1

@LastSoldier 2 / 2 / 0 Регистрация: 07.05.2013 Сообщений: 146
	05.03.2016, 12:43 [ТС]	3
	Event Viewer -> Windows Logs -> Security я ничего тут не нашел кроме имени пользователя Кликните здесь для просмотра всего текста никакого ip нигде нету Кликните здесь для просмотра всего текста Если бы было все так просто, то я бы не создавал тему ) 0

@KDE777 1885 / 1107 / 428 Регистрация: 22.01.2016 Сообщений: 3,050
	05.03.2016, 13:14	4
	Сообщение от LastSoldier Event Viewer -> Windows Logs -> Security я ничего тут не нашел кроме имени пользователя Нужно событие 4624, у которого код входа 10 0

@LastSoldier 2 / 2 / 0 Регистрация: 07.05.2013 Сообщений: 146
	05.03.2016, 16:47 [ТС]	5
	KDE777, Кликните здесь для просмотра всего текста Имя журнала: Security Источник: Microsoft-Windows-Security-Auditing Дата: 04.03.2016 7:57:53 Код события: 4624 Категория задачи:Вход в систему Уровень: Сведения Ключевые слова:Аудит успеха Пользователь: Н/Д Компьютер: Enterprise Описание: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: СИСТЕМА Имя учетной записи: ENTERPRISE$ Домен учетной записи: WORKGROUP Код входа: 0x3E7 Тип входа: 10 Уровень олицетворения: Олицетворение Новый вход: ИД безопасности: ENTERPRISE\Term1 Имя учетной записи: Term1 Домен учетной записи: ENTERPRISE Код входа: 0x4AF769 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x117c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: ENTERPRISE Сетевой адрес источника: 0.0.0.0 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Никакой разницы нету, все равно ip 0.0.0.0 0

@KDE777 1885 / 1107 / 428 Регистрация: 22.01.2016 Сообщений: 3,050
	05.03.2016, 17:30	6
	LastSoldier, https://support.microsoft.com/en-us/kb/3097467 To resolve this issue, upgrade the RDP target computer to Windows 8 or Windows Server 2012 (or later). Or, disable RDP 8.0 in Windows 7 or Windows Server 2008 R2. Пишут, что в этом случае нужно на клиенте - обновить ОС (до Win8 или выше) или отключить протокол RDP 8.0 0

@LastSoldier 2 / 2 / 0 Регистрация: 07.05.2013 Сообщений: 146
	05.03.2016, 19:17 [ТС]	7
	KDE777, windows server 2012 стоят самые последние обновления, а на клиентских машинах windows не стоит, потому что используется тонкий клиент, а не толстый. 0

@KDE777 1885 / 1107 / 428 Регистрация: 22.01.2016 Сообщений: 3,050
	05.03.2016, 19:37	8
	Сообщение от LastSoldier windows server 2012 стоят самые последние обновления А проблема не в сервере, а в реализации RDP-протокола на стороне клиента... Сообщение от LastSoldier а на клиентских машинах windows не стоит, потому что используется тонкий клиент, а не толстый. Что-бы не стояло не тонких клиентах, оно использует какую-то из реализаций RDP-протокола для подключения к серверу. Вы читали, что написано по ссылке? This issue occurs because of a code change in RDP 8.0. In RDP 8.0, the client IP address is stored in a WTS_SOCKADDR structure. This differs from RDP 7.0 (the default RDP version in Windows 7 and Windows Server 2008 R2). In Windows 8 and Windows Server 2012 (and later versions of Windows), the code logic for logging this event is rewritten based on the new design. That prevents this issue from occurring. Эта проблема возникает из-за изменения кода в RDP 8.0. В протоколе RDP 8.0, IP-адрес клиента хранится в структуре WTS SOCKADDR. Это отличается от протокола RDP 7.0 0

@LastSoldier 2 / 2 / 0 Регистрация: 07.05.2013 Сообщений: 146
	05.03.2016, 20:19 [ТС]	9
	KDE777, я там все прочитал, это не подходит. ncomputing не использует стандартных протоколов удаленного управления системой (RDP [Remote Desktop Protocol] для ОС Windows и X11 — для Linux Xserver). Помимо клиентского терминала ncomputing включает в себя собственный терминальный сервер, причем как под ОС семейства Windows, так и под некоторые дистрибутивы Linux. NComputing работают по протоколу WoIP (Windows over IP) Добавлено через 19 минут Сори, по протоколу UXP 0

@KDE777 1885 / 1107 / 428 Регистрация: 22.01.2016 Сообщений: 3,050
	05.03.2016, 20:32	10
	Сообщение от LastSoldier Помимо клиентского терминала ncomputing включает в себя собственный терминальный сервер Очень здорово, что у ncomputing есть свой терминальный сервер, но вы писали: Сообщение от LastSoldier Настройка сервера терминалов производилась по этой инструкции http://tavalik.ru/ustanovka_se... rver_2012/ А там идёт речь идёт исключительно про развёртывание Microsoft Remote Desktop Services и никакой ncomputing не упоминается... Сообщение от LastSoldier Applications ans Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager Опять же - это журнал Microsoft RDS-сервера Или на Windows Server 2012 у вас установлен собственный терминальный сервер от ncomputing? Тогда можно предположить, что и журналы у него собственные... 0

@LastSoldier 2 / 2 / 0 Регистрация: 07.05.2013 Сообщений: 146
	05.03.2016, 22:10 [ТС]	11
	KDE777, http://www.foxnetwork.ru/index... --ncomputi вот как настраиваются терминалы. Может Вы и правы что у Vspace ПО ncomputing есть свои логи, я их пока найти не смог, завтра еще раз на сервера посмотрю. 0

@KDE777 1885 / 1107 / 428 Регистрация: 22.01.2016 Сообщений: 3,050
	05.03.2016, 22:31	12
	Сообщение от LastSoldier http://www.foxnetwork.ru/index.php/c...e/77--ncomputi вот как настраиваются терминалы. Ну так это совсем другое дело: Работа L300 не возможна без подключения к серверу с предустановленным программным обеспечением vSpace. Т.е. всеми подключениями управляет vSpace сервер, а вы сначала спрашивали про информацию об RDS-подключениях. Вам нужно искать где журнал (если он есть) vSpace сервера... 0

@LastSoldier 2 / 2 / 0 Регистрация: 07.05.2013 Сообщений: 146
	06.03.2016, 14:25 [ТС]	13
	KDE777, не смог его найти может его там и вовсе нету. Написал в техподдержку ncomputing, буду ждать ответа 0

@LastSoldier 2 / 2 / 0 Регистрация: 07.05.2013 Сообщений: 146
	11.03.2016, 21:21 [ТС]	14
	Пришел ответ техподдержки: их программа логи не пишет, но в будущем планируется добавить. Значит я так понимаю что способа узнать когда пользователь заходил и с какого терминала ( 1

Как узнать с какого терминала(тонкий клиент) пользователь заходил в windows?

Решение