如何找到 rdp 會話的原始使用者 ID？

我們有一些共享特權帳戶，IS Security 現在希望能夠追踪到使用它們的人。是在某處記錄的，還是有辦法（最好使用 Powershell）找到它（或通過登錄腳本強制自定義事件日誌）？範例：使用者“Joe”登錄到他的筆記型電腦，然後使用“超級使用者”帳戶打開到伺服器“Tuxedo”的 rdp 會話。如何跟踪/查找/記錄“Joe”和“超級使用者”之間的相關性？

簡短的版本是你不能。RDP 協議唯一關心的是您連接到遠端伺服器的身份。除了客戶端的 IP 地址之外，伺服器或協議中沒有任何內容可以告訴您是誰發起了連接。

如果您已經可以訪問客戶端系統，您可以做的最好的事情是將客戶端 IP 與客戶端系統相關聯，並檢查客戶端系統的日誌以查看在 RDP 會話啟動的同時登錄的使用者。

更好的解決方案是停止使用共享帳戶。但是，如果出於某種技術原因需要保留它們，您應該在某種企業密碼庫中對密碼進行訪問，該密碼庫會審核誰簽出目前密碼，理想情況下會在重新簽入後自動輪換。

引用自：https://serverfault.com/questions/801902