Windows: Как определить, был ли компьютер выключен удаленно?

4

Компьютер в домене кто-то случайно отключил (один раз его поймали)!

Для этого он использует shutdown /s /f /t 0 /m \\computername в командной строке Windows.

После инцидента некоторые компьютеры случайно отключались несколько раз в неделю, но, возможно, не одним и тем же человеком.

Теперь вопрос: возможно ли обнаружить / контролировать, если компьютер был удаленно выключен, и кем? (например, в Event Viewer)

изменён Chenmunka3k

задан armen121

1 ответ1

2

Попробуйте отфильтровать системный журнал по источнику событий User32 и 1074 ID события (подробнее).

Если вы не включили отслеживание событий завершения работы, причина «Другая (незапланированная)» является нормальной.

ответ дан Louis12k

Всё ещё ищете ответ? Посмотрите другие вопросы с метками windows command-line shutdown.