Acabei de confirmar isso no Windows Server 2008 R2. Isso é um logon local diretamente para o console.
Não é uma conexão mstsc /admin para a sessão do console (que nunca terá um ID de sessão de 1).
Em nossa organização, temos um controle que assiste usuários que usam contas do Active Directory de alto privilégio para o RDP em qualquer servidor ou estação de trabalho em nossa rede.
Eu recentemente habilitei este controle que está assistindo logs relacionados ao Windows Terminal Services com filtros específicos para contas de acesso com alto privilégio em nosso domínio.
Houve vários logs úteis que indicam usuários usando essas contas para o RDP, mas também há vários logs que indicam a atividade do RDP, mas o campo "Endereço de rede de origem" é "LOCAL".
Aqui está um log de amostra (com informações confidenciais limpas):
Microsoft-Windows-TerminalServices-LocalSessionManager/ Operational,01/08/2014,13:31:45 PM,Microsoft-Windows- TerminalServices-LocalSessionManager,21,Information,N/A,None,N/ A,comptername.domain.com,IP:1.1.1.1,21,Remote Desktop Services: Session logon succeeded: User: domain\highaccessaccount Session ID: 1 Source Network Address: LOCAL
A minha pergunta é, alguém viu algum log semelhante a este, e alguém tem uma idéia de como um usuário poderia gerar este log com o destino sendo a máquina local?