Казалось бы задача простая - открыть event viewer и найти кто когда и с какого IP заходил. Но в event viewer таких данных нет. UPDATE плохо искал. Всё есть - см. отдельный пост.

Довольно быстро на сайте Microsoft TechNet нашёлся уже готовый парсер для логов доступа RDP.

Скачать powershell скрипт RDPConnectionParser.ps1, зеркало rtfm.wiki

Но перед нами всё таки Windows и совсем неважно, что версия содержит в себе гордое server. Server только добавляет мучений пользователю или администратору. На самом деле это злой юмор. 2008/2012 отличные серверные ОС.

При попытке выполнить скрипт система выдаёт сообщение "выполнение скриптов запрещено для данной системы"

Выполняем команду Set-ExecutionPolicy RemoteSigned, как рекомендует автор данного прекрасного блога.

Теперь все ЛОКАЛЬНЫЕ сценарии PowerShell будут выполняться без подписи и сценарии загруженные из интернета с цифровой подписью надежного издателя.

Итоговый результат выглядит так