Historique des journaux de Windows Server [fermé]

J'ai établi que quelqu'un s'est connecté à mon bureau pendant mes vacances, je crois que cela a été fait via notre serveur par notre administrateur mais je ne sais pas comment. Je ne suis pas informatique mais j'ai des privilèges d'administrateur sur mon serveur, donc je me suis dit qu'avant de blâmer l'informatique pour accéder à mon bureau, je verrais s'il était connecté au serveur en même temps que pendant les heures non travaillées. Quelqu'un peut-il me fournir un processus étape par étape sur la façon d'afficher les connexions précédentes sur Server 2008

windows windows-server-2008

— nadimo
source

"blâmer l'informatique pour accéder à mon bureau" - Vous vous rendez compte que (sauf si vous avez des exemptions très spécifiques) que faire cela est tout simplement leur travail?

— HBruijn

Ouvrez l'Observateur d'événements - appuyez sur la touche Windows, tapez Observateur d'événements et appuyez sur Entrée pour l'ouvrir.

Accédez à la catégorie Journaux Windows -> Sécurité dans l'Observateur d'événements.

Recherchez les événements avec l'ID d'événement 4624 - ils représentent des événements de connexion réussis.

Faites défiler les journaux jusqu'au moment où vous pensez qu'il s'est connecté et jetez un œil.

Vous pouvez double-cliquer sur n'importe quel journal pour les ouvrir, généralement vous verrez la première ligne:

"Un compte a été correctement connecté."

Puis plusieurs lignes de plus

"Nouvelle connexion:

ID de sécurité: domaine \ utilisateur

Nom du compte: utilisateur "

— Anthony Fornito
source

Veuillez noter que le PO est bloqué si l'audit n'a pas été défini avant l'incident. Par défaut, cette valeur est définie sur Aucun audit dans l'objet de stratégie de groupe du contrôleur de domaine par défaut (GPO) et dans les stratégies locales des postes de travail et des serveurs. ( technet.microsoft.com/en-us/library/cc976395.aspx )

— yagmoth555