Nevim, jestli Ti to pomuze, ale lze dohledat posledni prihlaseni takhle (kdyz nefunguje logon event):
Vytvoris si task, ktery ma trigger 'On an event', v nastaveni si vyberes Custom a kliknes na Edit Event Filter. Tam si vyberes zalozku XML, kde musis definovat query... to je trosku alchymie, blbe se to hleda i v dokuentaci, ale najdes napr. tak, ze si vytvoris basic event filter a nechas si ukazat co je v XML query. Nejhorsi cast je primo definovat filtr:
Event[(System[(EventID=4624 or EventID=528)]) and (EventData[(Data[@Name='LogonType']=2 or Data[@Name='LogonType']=10)])]
Cislo udalosti je jiny ve starsich a novejsich verzich Windows, takze hledas pro sichr oba, pak hledas LogonType 2 nebo 10, coz je local login a remote login (nebo obracene), nasledne ze stejnyho eventu zjistis, kdo ze se to prihlasil.
Zkus se napriklad nekam prihlasit pres RDP, nasledne na tom stroji pust:
wevtutil query-events Security /count:1 /rd:true /format:text /q:"Event[(System[(EventID=4624 or EventID=528)]) and (EventData[(Data[@Name='LogonType']=2 or Data[@Name='LogonType']=10)])]"
Najdes event svyho prihlaseni.
Pripadne v PowerShellu:
# Get Windows Event from security log for last local or RDP login into a variable
$myEvent = Get-WinEvent -LogName Security -MaxEvents 1 -FilterXPath "Event[(System[(EventID=4624 or EventID=528)]) and (EventData[(Data[@Name='LogonType']=2 or Data[@Name='LogonType']=10)])]"
# Get text contents of the event
$myEvent.message
Upozornuju, ze uzivatel, ktery spousti tenhle task, musi mit prava cist security log, takze si mozna budes muset hrat s local security policy.
A nasledne ostatnim uzivatelum jde omezit, co smeji spoustet, taky se to resi pres local security policy, a taky to neni pekna prace...