Как узнать с какого терминала(тонкий клиент) пользователь заходил в windows?

LastSoldier · Регистрация: 07.05.2013

Студворк — интернет-сервис помощи студентам

Есть сервер win 2012, через него работают 5 тонких клиентов ncomputing l300.
У каждого терминала есть имя и стический ip.
Пример:
В windows создано два пользователя Петя и Вася, каждый заходит на своем терминале, но как-то раз Петя украл пароль у Васи в 1с и зашел в 1с под Васей не на терминале Васи, а на своем терминале. Вот как можно проверить c какого терминала осуществлен вход в windows server 2012?
Настройка сервера терминалов производилась по этой инструкции http://tavalik.ru/ustanovka_se... rver_2012/
Смотрел в журнале windows
Server Manager -> Diagnostics -> Event Viewer -> Applications ans Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational
тут показано когда и какой пользователь заходил, но не указано с какого устройства(терминала) он осуществил вход или хотя бы с какого ip.

@KDE777 · 05.03.2016, 00:33

Сообщение от LastSoldier

Смотрел в журнале windows

Не там смотрели. Для любого Windows события о входе в систему записывается в:
Event Viewer -> Windows Logs -> Security

Успешный вход это - EventID 4624 (начиная с Win2008)
А среди EventID 4624 вам нужны - Logon Type 10 (RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance))

Там будет логин клиента, дата/время и IP его хоста.

Добавлено через 16 минут
Хотя странно почему не нашли нужных данных и в Applications and Services Logs... IP клиентов так же есть в:

Microsoft-Windows-TerminalServices-LocalSessionManager/Operational, EventID 21
Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational, EventID 1149

LastSoldier · 05.03.2016, 12:43 **[ТС]**

Event Viewer -> Windows Logs -> Security я ничего тут не нашел кроме имени пользователя

Кликните здесь для просмотра всего текста

Как узнать с какого терминала(тонкий клиент) пользователь заходил в windows?

никакого ip нигде нету

Кликните здесь для просмотра всего текста

Если бы было все так просто, то я бы не создавал тему )

@KDE777 · 05.03.2016, 13:14

Сообщение от LastSoldier

Event Viewer -> Windows Logs -> Security я ничего тут не нашел кроме имени пользователя

Нужно событие 4624, у которого код входа 10

LastSoldier · 05.03.2016, 16:47 **[ТС]**

KDE777,

Кликните здесь для просмотра всего текста

Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 04.03.2016 7:57:53
Код события: 4624
Категория задачи:Вход в систему
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: Enterprise
Описание:
Вход с учетной записью выполнен успешно.

Субъект:
ИД безопасности: СИСТЕМА
Имя учетной записи: ENTERPRISE$
Домен учетной записи: WORKGROUP
Код входа: 0x3E7

Тип входа: 10

Уровень олицетворения: Олицетворение

Новый вход:
ИД безопасности: ENTERPRISE\Term1
Имя учетной записи: Term1
Домен учетной записи: ENTERPRISE
Код входа: 0x4AF769
GUID входа: {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
Идентификатор процесса: 0x117c
Имя процесса: C:\Windows\System32\winlogon.exe

Сведения о сети:
Имя рабочей станции: ENTERPRISE
Сетевой адрес источника: 0.0.0.0
Порт источника: 0

Сведения о проверке подлинности:
Процесс входа: User32
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Никакой разницы нету, все равно ip 0.0.0.0

@KDE777 · 05.03.2016, 17:30

LastSoldier,

https://support.microsoft.com/en-us/kb/3097467

To resolve this issue, upgrade the RDP target computer to Windows 8 or Windows Server 2012 (or later). Or, disable RDP 8.0 in Windows 7 or Windows Server 2008 R2.

Пишут, что в этом случае нужно на клиенте - обновить ОС (до Win8 или выше) или отключить протокол RDP 8.0

LastSoldier · 05.03.2016, 19:17 **[ТС]**

KDE777, windows server 2012 стоят самые последние обновления, а на клиентских машинах windows не стоит, потому что используется тонкий клиент, а не толстый.

@KDE777 · 05.03.2016, 19:37

Сообщение от LastSoldier

windows server 2012 стоят самые последние обновления

А проблема не в сервере, а в реализации RDP-протокола на стороне клиента...

Сообщение от LastSoldier

а на клиентских машинах windows не стоит, потому что используется тонкий клиент, а не толстый.

Что-бы не стояло не тонких клиентах, оно использует какую-то из реализаций RDP-протокола для подключения к серверу.

Вы читали, что написано по ссылке?

This issue occurs because of a code change in RDP 8.0. In RDP 8.0, the client IP address is stored in a WTS_SOCKADDR structure. This differs from RDP 7.0 (the default RDP version in Windows 7 and Windows Server 2008 R2).

In Windows 8 and Windows Server 2012 (and later versions of Windows), the code logic for logging this event is rewritten based on the new design. That prevents this issue from occurring.

Эта проблема возникает из-за изменения кода в RDP 8.0. В протоколе RDP 8.0, IP-адрес клиента хранится в структуре WTS SOCKADDR. Это отличается от протокола RDP 7.0

LastSoldier · 05.03.2016, 20:19 **[ТС]**

KDE777, я там все прочитал, это не подходит.
ncomputing не использует стандартных протоколов удаленного управления системой (RDP [Remote Desktop Protocol] для ОС Windows и X11 — для Linux Xserver). Помимо клиентского терминала ncomputing включает в себя собственный терминальный сервер, причем как под ОС семейства Windows, так и под некоторые дистрибутивы Linux.
NComputing работают по протоколу WoIP (Windows over IP)

Добавлено через 19 минут
Сори, по протоколу UXP

@KDE777 · 05.03.2016, 20:32

Сообщение от LastSoldier

Помимо клиентского терминала ncomputing включает в себя собственный терминальный сервер

Очень здорово, что у ncomputing есть свой терминальный сервер, но вы писали:

Сообщение от LastSoldier

Настройка сервера терминалов производилась по этой инструкции http://tavalik.ru/ustanovka_se... rver_2012/

А там идёт речь идёт исключительно про развёртывание Microsoft Remote Desktop Services и никакой ncomputing не упоминается...

Сообщение от LastSoldier

Applications ans Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager

Опять же - это журнал Microsoft RDS-сервера

Или на Windows Server 2012 у вас установлен собственный терминальный сервер от ncomputing? Тогда можно предположить, что и журналы у него собственные...

LastSoldier · 05.03.2016, 22:10 **[ТС]**

KDE777, http://www.foxnetwork.ru/index... --ncomputi вот как настраиваются терминалы.
Может Вы и правы что у Vspace ПО ncomputing есть свои логи, я их пока найти не смог, завтра еще раз на сервера посмотрю.

@KDE777 · 05.03.2016, 22:31

Сообщение от LastSoldier

http://www.foxnetwork.ru/index.php/c...e/77--ncomputi вот как настраиваются терминалы.

Ну так это совсем другое дело:

Работа L300 не возможна без подключения к серверу с предустановленным программным обеспечением vSpace.

Т.е. всеми подключениями управляет vSpace сервер, а вы сначала спрашивали про информацию об RDS-подключениях.

Вам нужно искать где журнал (если он есть) vSpace сервера...

LastSoldier · 06.03.2016, 14:25 **[ТС]**

KDE777, не смог его найти может его там и вовсе нету.
Написал в техподдержку ncomputing, буду ждать ответа

LastSoldier · 11.03.2016, 21:21 **[ТС]**

Пришел ответ техподдержки: их программа логи не пишет, но в будущем планируется добавить.
Значит я так понимаю что способа узнать когда пользователь заходил и с какого терминала (

@KDE777 · 14.03.2016, 10:33

Сообщение от LastSoldier

Значит я так понимаю что способа узнать когда пользователь заходил и с какого терминала

Когда и кто у вас в журналах видно, а вот с какого IP - получается, что нельзя, т.к. Windows Server не может взять эти данные из "чужого" протокола, а "родное" (vSpace) приложение журналов не пишет.

Новые блоги и статьи Все статьи Все блоги /
Символьное дифференцирование igorrr37 13.02.2026 / * Программа принимает математическое выражение в виде строки и выдаёт его производную в виде строки и вычисляет значение производной при заданном х Логарифм записывается как: (x-2)log(x^2+2) -. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .

LastSoldier 2 / 2 / 0 Регистрация: 07.05.2013 Сообщений: 169

	Как узнать с какого терминала(тонкий клиент) пользователь заходил в windows? 04.03.2016, 19:41. Показов 16491. Ответов 14 Метки нет (Все метки) Есть сервер win 2012, через него работают 5 тонких клиентов ncomputing l300. У каждого терминала есть имя и стический ip. Пример: В windows создано два пользователя Петя и Вася, каждый заходит на своем терминале, но как-то раз Петя украл пароль у Васи в 1с и зашел в 1с под Васей не на терминале Васи, а на своем терминале. Вот как можно проверить c какого терминала осуществлен вход в windows server 2012? Настройка сервера терминалов производилась по этой инструкции http://tavalik.ru/ustanovka_se... rver_2012/ Смотрел в журнале windows Server Manager -> Diagnostics -> Event Viewer -> Applications ans Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational тут показано когда и какой пользователь заходил, но не указано с какого устройства(терминала) он осуществил вход или хотя бы с какого ip. 0

LastSoldier 2 / 2 / 0 Регистрация: 07.05.2013 Сообщений: 169
	05.03.2016, 12:43 [ТС]
	Event Viewer -> Windows Logs -> Security я ничего тут не нашел кроме имени пользователя Кликните здесь для просмотра всего текста никакого ip нигде нету Кликните здесь для просмотра всего текста Если бы было все так просто, то я бы не создавал тему ) 0

LastSoldier 2 / 2 / 0 Регистрация: 07.05.2013 Сообщений: 169
	05.03.2016, 16:47 [ТС]
	KDE777, Кликните здесь для просмотра всего текста Имя журнала: Security Источник: Microsoft-Windows-Security-Auditing Дата: 04.03.2016 7:57:53 Код события: 4624 Категория задачи:Вход в систему Уровень: Сведения Ключевые слова:Аудит успеха Пользователь: Н/Д Компьютер: Enterprise Описание: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: СИСТЕМА Имя учетной записи: ENTERPRISE$ Домен учетной записи: WORKGROUP Код входа: 0x3E7 Тип входа: 10 Уровень олицетворения: Олицетворение Новый вход: ИД безопасности: ENTERPRISE\Term1 Имя учетной записи: Term1 Домен учетной записи: ENTERPRISE Код входа: 0x4AF769 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x117c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: ENTERPRISE Сетевой адрес источника: 0.0.0.0 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Никакой разницы нету, все равно ip 0.0.0.0 0

LastSoldier 2 / 2 / 0 Регистрация: 07.05.2013 Сообщений: 169
	05.03.2016, 19:17 [ТС]
	KDE777, windows server 2012 стоят самые последние обновления, а на клиентских машинах windows не стоит, потому что используется тонкий клиент, а не толстый. 0

LastSoldier 2 / 2 / 0 Регистрация: 07.05.2013 Сообщений: 169
	05.03.2016, 20:19 [ТС]
	KDE777, я там все прочитал, это не подходит. ncomputing не использует стандартных протоколов удаленного управления системой (RDP [Remote Desktop Protocol] для ОС Windows и X11 — для Linux Xserver). Помимо клиентского терминала ncomputing включает в себя собственный терминальный сервер, причем как под ОС семейства Windows, так и под некоторые дистрибутивы Linux. NComputing работают по протоколу WoIP (Windows over IP) Добавлено через 19 минут Сори, по протоколу UXP 0

LastSoldier 2 / 2 / 0 Регистрация: 07.05.2013 Сообщений: 169
	05.03.2016, 22:10 [ТС]
	KDE777, http://www.foxnetwork.ru/index... --ncomputi вот как настраиваются терминалы. Может Вы и правы что у Vspace ПО ncomputing есть свои логи, я их пока найти не смог, завтра еще раз на сервера посмотрю. 0

LastSoldier 2 / 2 / 0 Регистрация: 07.05.2013 Сообщений: 169
	06.03.2016, 14:25 [ТС]
	KDE777, не смог его найти может его там и вовсе нету. Написал в техподдержку ncomputing, буду ждать ответа 0

LastSoldier 2 / 2 / 0 Регистрация: 07.05.2013 Сообщений: 169
	11.03.2016, 21:21 [ТС]
	Пришел ответ техподдержки: их программа логи не пишет, но в будущем планируется добавить. Значит я так понимаю что способа узнать когда пользователь заходил и с какого терминала ( 1

Как узнать с какого терминала(тонкий клиент) пользователь заходил в windows?

Решение