Alguns dos meus usuários espertos estão usando a suíte pstools para desligar os computadores uns dos outros. Agora sei como evitar que isso aconteça, mas é possível que os comandos do pskill estejam sendo registrados em algum lugar? Embora eu saiba que eles estão fazendo isso, não sei exatamente quem é.
Estas são máquinas WinXP Pro sp2 em uma rede win 2003.
Verifique o Visualizador de Eventos em uma máquina que você suspeita ter sido desligada remotamente. Você deve ser capaz de localizar um log do comando Shutdown sendo dado e pode ter o usuário que emitiu o comando. Você pode precisar ajustar alguns logs para obter isso (eu sei que o servidor 2k3 registra a OMS que enviou o comando, não tenho certeza sobre o XP).
Tags windows security windows-xp