Qui est connecté sur Windows Server ?

Savoir qui est connecté à votre Windows Server est essentiel pour l’administration, le dépannage et la sécurité. Cet article rassemble plusieurs méthodes fiables — intégrées au système ou via un outil Microsoft gratuit — et explique quand chaque méthode est pertinente, ses limites et les bonnes pratiques.

Table des matières

• Méthodes rapides pour vérifier les connexions
• Détails et commandes pas à pas
• Quand chaque méthode échoue
• Bonnes pratiques de sécurité et conformité
• Checklists par rôle
• Résumé
• FAQ

Méthodes rapides pour vérifier les connexions

• Pour voir les connexions SMB/partages réseau : net session (PowerShell ou CMD en administrateur).
• Pour lister les sessions locales et les accès sans session complète : PsLoggedOn (Sysinternals).
• Pour les sessions interactives ou RDS : Gestionnaire des tâches > Onglet Utilisateurs.
• Pour les logs historiques : Observateur d’événements > Journaux Windows > Sécurité (nécessite audit activé).

Détails et commandes pas à pas

Vérifier les sessions à distance avec PowerShell

Utilisez net session pour lister les connexions aux partages réseau et les sessions SMB. Cette commande montre l’utilisateur connecté à une session distante ainsi que l’adresse IP d’où provient la connexion.

Étapes :

1. Ouvrez PowerShell en tant qu’administrateur (clic droit > Exécuter en tant qu’administrateur).
2. Tapez la commande suivante et appuyez sur Entrée :

net session

Résultat attendu : la liste des sessions actives, le nom d’utilisateur, l’ordinateur source et le temps d’inactivité. Remarque : net session ne montre pas les sessions RDP interactives — il cible les connexions aux ressources partagées (SMB).

Lister les connexions locales avec PsLoggedOn (Sysinternals)

PsLoggedOn est fourni par Microsoft Sysinternals. Il indique qui est connecté localement et qui accède à des ressources sans ouverture de session complète.

Étapes :

1. Téléchargez PsTools depuis le site Sysinternals et extrayez l’archive ZIP.
2. Copiez psloggedon.exe dans un dossier, par exemple C:\pstools.
3. Ouvrez l’Invite de commandes en tant qu’administrateur.
4. Placez-vous dans le dossier :

cd C:\pstools

5. Lancez la commande :

psloggedon

Options utiles :

• Pour interroger un serveur distant :

psloggedon \\NomDuServeur

• Pour rechercher un utilisateur spécifique sur le réseau :

psloggedon nomUtilisateur

PsLoggedOn requiert des droits d’administration sur la machine cible et l’accès administratif réseau (ou un compte disposant des droits nécessaires).

Utiliser le Gestionnaire des tâches

Le Gestionnaire des tâches est la méthode la plus simple pour les sessions locales et RDS (Services Bureau à distance).

1. Appuyez sur Ctrl + Shift + Esc pour ouvrir le Gestionnaire des tâches.
2. Allez dans l’Onglet Utilisateurs.
3. Vous verrez les comptes connectés, l’état de leur session (Actif/Déconnecté) et usage des ressources.

Limite : ne montre que les sessions interactives et les sessions RDS affichées localement sur ce serveur.

Consulter les logs pour l’historique

Si vous avez activé l’audit des connexions, l’Observateur d’événements contient les entrées de sécurité :

• Ouvrez Observateur d’événements > Journaux Windows > Sécurité.
• Recherchez les ID d’événement liés à l’ouverture de session (par ex. 4624 pour réussite, 4625 pour échec dans Windows Server modernes).

Important : l’audit doit être activé via les stratégies de sécurité (GPO) pour que ces événements soient enregistrés.

Quand chaque méthode échoue — contre-exemples et limites

• net session : ne détecte pas les sessions RDP interactives; uniquement les connexions aux partages (SMB/CIFS).
• PsLoggedOn : nécessite privilèges élevés et accès réseau; peut être bloqué par pare-feu ou politiques de sécurité.
• Gestionnaire des tâches : ne montre pas les connexions réseau non interactives et n’est pas utilisable à distance sans session graphique.
• Observateur d’événements : utile pour l’historique mais ne donne pas l’état « en ce moment » si l’audit n’était pas activé.

Modèle mental rapide

Pensez en trois couches :

1. Connexions aux ressources (SMB) → net session.
2. Sessions locales/interactives (RDP) → Gestionnaire des tâches / query user.
3. Preuves et historique → Observateur d’événements (audit).

Cette hiérarchie vous aide à choisir l’outil selon le type d’accès que vous cherchez.

Méthodologie minimale pour enquêter (mini-playbook)

1. Déterminez le type d’accès (fichier/partage, RDP interactif, service, API).
2. Utilisez l’outil approprié (net session, PsLoggedOn, Gestionnaire des tâches, Observateur d’événements).
3. Si suspect, collectez preuves (logs, adresses IP, durée), isolez la session si nécessaire (déconnecter, verrouiller).
4. Évaluez si l’accès était autorisé; si non, suivez la procédure d’incident de sécurité.

Checklists par rôle

Administrateur système :

• Avoir un accès administrateur local.
• Savoir exécuter net session, psloggedon et query user.
• Vérifier les journaux de sécurité.

Support/helpdesk :

• Demander le nom d’utilisateur et l’heure approximative.
• Vérifier l’Onglet Utilisateurs dans le Gestionnaire des tâches.
• Fournir evidence (capture d’écran) si demandé.

Sécurité/IT ops :

• Confirmer l’IP source et l’activité sur le compte.
• Mettre en quarantaine ou réinitialiser le compte si nécessaire.
• Vérifier les politiques d’audit et la conservation des logs.

Sécurité et confidentialité

Important : limitez l’accès aux outils d’investigation (PsTools, Observateur d’événements) aux administrateurs. Conservez les logs de connexion selon la politique de rétention de votre organisation et en conformité avec le RGPD : minimisez les données personnelles conservées et documentez les motifs légitimes pour la conservation.

Diagramme de décision

flowchart TD
  A[Démarrer : besoin d'identifier un utilisateur connecté] --> B{Type de connexion ?}
  B -->|Partage fichier/SMB| C[Exécuter net session]
  B -->|Session interactive/RDP| D[Ouvrir Gestionnaire des tâches -> Onglet Utilisateurs]
  B -->|Local/voir accès sans session| E[Utiliser PsLoggedOn]
  B -->|Historique| F[Consulter Observateur d’événements -> Sécurité]
  C --> G{Résultat suffisant?}
  D --> G
  E --> G
  F --> G
  G -->|Oui| H[Documenter et agir]
  G -->|Non| I[Augmenter audit / collecter plus d'infos]

Critères de réussite

• Vous pouvez lister les utilisateurs actuellement connectés via la méthode adaptée.
• Vous avez identifié l’origine (IP/machine) et le type de session (SMB/RDP/service).
• Vous avez collecté des preuves si une action de sécurité est nécessaire.

Résumé

Trouver qui est connecté sur Windows Server implique de choisir l’outil adapté : net session pour les connexions aux partages, PsLoggedOn pour les accès locaux et non interactifs, Gestionnaire des tâches pour RDS/interactif, et l’Observateur d’événements pour l’historique. Activez l’audit, limitez l’accès aux outils et conservez les logs conformément aux règles de confidentialité.

FAQ

Comment voir qui est connecté à distance ?

Exécutez net session dans un terminal élevé (PowerShell ou CMD) pour voir les connexions SMB et leurs adresses IP.

Quel outil montre les connexions locales ?

PsLoggedOn (Sysinternals) affiche les utilisateurs locaux et ceux accédant aux ressources sans session complète.

Puis-je utiliser le Gestionnaire des tâches pour tout voir ?

Non. Le Gestionnaire des tâches montre uniquement les sessions interactives (locales ou RDS) visibles sur ce serveur.

Windows Server enregistre-t-il chaque tentative de connexion ?

Oui, si l’audit de connexion est activé. Vérifiez Observateur d’événements > Journaux Windows > Sécurité.

PsLoggedOn est-il sûr ?

Oui, c’est un outil officiel Sysinternals de Microsoft, largement utilisé par les administrateurs. Restreignez néanmoins son usage aux administrateurs.

Si vous avez besoin d’exemples de commandes supplémentaires (par ex. query user, quser /server:NomDuServeur) ou d’une procédure d’intervention pour une session compromise, demandez et je fournirai un playbook détaillé adapté à votre environnement.