本文主要是介绍Windows 远程桌面组策略和登录注销策略设置,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
用了很多年 windows 远程桌面,从来没有关注过远程桌面的设置,时不时出现一个人下了,另一个人上不去,也就是多等一下,要么重启一次!
最近学习 Zabbix 的时候,才发现需要设置远程桌面策略,否则,总是监测不到 logon / logout 事件!因为远程桌面缺省是采用了会话保持,即使客户端关了 RDP , 也不会产生 log off 事件 !
记录一下操作过程,后续还用得到!
远程桌面设置
-
打开组策略编辑器
gpedit.msc
管理模板 – Windows组件 – 远程桌面服务 – 远程桌面会话主机 –
会话时间限制右边列出来 5 项可以启用的设置
- 主要设置 中断会话的时间限制
- 其他设置方式一样,请按照实际情况设置
登录注销策略设置
通过 Windows 事件查看可以查询到很多信息,但是,它包含的内容太多,我只关注几个关键信息 : 用户、IP 、时间
通过组策略编写脚本,在用户登录和注销(断开)的时候,记录下来!
之后,就可以通过zabbix 监控了!
开始我是通过计划任务来完成的,也是因为前一个原因:远程桌面操作时,总是捕捉不到登录时,或者发生4624/4625/4648 等事件的时候,导致计划任务根本不执行!
改用组策略处理后,也同样不执行脚本!所以,先去设置了远程桌面策略!
-
同上方式打开 打开组策略编辑器 ( gpedit.msc )
用户配置 – Window 设置 – 脚本(登录/注销)
-
登录脚本
确定之前,点击 “显示文件” ,确认一下脚本文件是否存在!
C:\Windows\System32\GroupPolicy\User\Scripts\Logon
-
注销脚本
同上!
-
脚本内容
假设 我需要监控 3389 端口信息, log 文件放在 c:/test/3389.loglogon 脚本
@echo offrem Date /t >> c:/test/3389.logrem Time /t >> c:/test/3389.logecho "Wellcome Logon! ===",%DATE% , %TIME%,"===" >> c:/test/3389.lognetstat -an |findstr "3389" | findstr "ESTABLISHED" >> c:/test/3389.loglogoff 脚本
@echo offrem Date /t >> c:/test/3389.logrem Time /t >> c:/test/3389.logecho "Bye Logoff! ===",%DATE% , %TIME%,"===" >> c:/test/3389.lognetstat -an |findstr "3389" | findstr "ESTABLISHED" >> c:/test/3389.log
这篇关于Windows 远程桌面组策略和登录注销策略设置的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
