Aqui estão duas maneiras comuns de os usuários serem desconectados do Windows:
- Manual : O usuário faz logoff manualmente
- Automatizado : O sistema Windows faz logoff do usuário automaticamente por meio de algum mecanismo
Existe alguma maneira de determinar ( com base em uma instalação padrão do Windows, sem nenhum software especial instalado ) o método de logoff? ou seja, quais desses dois métodos ( Manual/Auto ) para logoff foram utilizados?
Quando um usuário invoca uma ação de logoff/sair ( manual ), isso é registrado no log de eventos de segurança como ID de evento 4647 . O logoff automático (tempo limite da sessão) será registrado no log de eventos como Event ID 4634 .
Para revisar os eventos no log de eventos, execute estas ações
eventvwrde Iniciar > ExecutarSecuritysob os logs do WindowsFilter Current Logno menu de ações à direita4634,4647no campo abaixoIncludes/Excludes Event IDs:Clique em OK e você verá uma lista de eventos relacionados aos IDs de evento escolhidos.
Se você não vir nada, seu log de eventos foi limpo ou o evento é muito antigo e você precisa alterar a quantidade de dados que o visualizador de eventos armazena.
Uma lista abrangente de IDs de eventos pode ser encontrada aqui .