Historial de registro de Windows Server [cerrado]

He establecido que alguien ha iniciado sesión en mi escritorio mientras estaba de vacaciones, creo que se hizo a través de nuestro servidor de nuestro administrador, pero no estoy seguro de cómo. No soy amigable con TI, pero tengo privilegios de administrador en mi servidor, así que pensé que antes de culpar al TI por acceder a mi escritorio vería si estaba conectado al servidor durante el mismo tiempo que estaba fuera del horario laboral. ¿Puede alguien proporcionarme un proceso paso a paso sobre cómo ver los inicios de sesión anteriores en Server 2008

windows windows-server-2008

— nadimo
fuente

"culpo a la TI por acceder a mi escritorio" - ¿Se da cuenta de que (a menos que tenga excepciones muy específicas) que hacer eso es simplemente su trabajo?

— HBruijn

Abra el Visor de eventos: presione la tecla de Windows, escriba Visor de eventos y presione Entrar para abrirlo.

Navegue a la categoría Registros de Windows -> Seguridad en el visor de eventos.

Busque eventos con ID de evento 4624: estos representan eventos de inicio de sesión exitosos.

Desplácese hacia abajo en los registros hasta el momento en que cree que inició sesión y eche un vistazo.

Puede hacer doble clic en cualquier registro para abrirlos, generalmente verá la primera línea:

"Una cuenta se inició sesión correctamente".

Luego varias líneas más abajo

"Nuevo inicio de sesión:

ID de seguridad: dominio \ usuario

Nombre de cuenta: usuario "

— Anthony Fornito
fuente

Tenga en cuenta que el OP está bloqueado si la auditoría no se configuró antes del incidente. De forma predeterminada, este valor se establece en Sin auditoría en el objeto de directiva de grupo (GPO) del controlador de dominio predeterminado y en las políticas locales de estaciones de trabajo y servidores. ( technet.microsoft.com/en-us/library/cc976395.aspx )

— yagmoth555