我使用 PowerShell 检测当前是否有人通过 RDP 连接:
Get-WinEvent Microsoft-Windows-TerminalServices-LocalSessionManager/Operational | Where-Object {$_.Id -eq 24 -or $_.Id -eq 25} | Select-Object -First 1 -Property *
从那里,我可以得到IP。获取相同信息的另一种方法是:
netstat -n | findstr ":3389" | findstr "ESTABLISHED"
但是,在我的网络上,大多数通过 RDP 登录的用户都将通过 OpenVPN 进行连接,因此他们会话的 IP 始终是 OpenVPN 服务器的 IP。
现在,显然 RDP 主机能够与原始 RDP 客户端进行通信。我怎样才能找到有关该 RDP 客户端身份的任何信息?(IP、主机名、netbios 名称,任何能帮助我识别机器或用户的东西)
我也不能使用用于登录远程桌面的帐户,因为在我感兴趣的特定情况下,人们共享相同的登录会话,因此它始终是 RDP 主机上的同一用户。