Различная информация по Windows.
Просмотр IP с которого было подключение по RDP Просмотр доменных групп, в которых состоит пользователь Как собрать дампы памяти Просмотр IP с которого было подключение по RDP Открыть системную оснастку Просмотр событий/Event viewer. Далее открыть Журналы приложений и служб/Microsoft/TerminalServices-RemoteConnectionManager/Operational (Applications and Services Logs/Microsoft/TerminalServices-RemoteConnectionManager/Operational). В списке нужно найти запись с EventID=1149 за требуемое время. В этом событие будет информация типа:
Remote Desktop Services: User authentication succeeded: User: <user> Domain: <domain> Source Network Address: 50.