Como ver quem está conectado no Windows Server

Saber quem está conectado ao seu Windows Server não é só curiosidade — é administração. Você pode precisar identificar quem consome recursos, resolver problemas de acesso, encerrar sessões órfãs ou cumprir auditoria. O Windows Server não tem um botão único para isso, mas existem métodos confiáveis, embutidos no SO e via ferramentas gratuitas.

Sumário

• Como identificar usuários conectados no Windows Server
  • 1. Ver sessões remotas com PowerShell / linha de comando
  • 2. Listar logins locais com PsLoggedOn (Sysinternals)
  • 3. Usar o Gerenciador de Tarefas (acesso direto ou RDS)
• Comandos alternativos e atalho rápido
• Quando esses métodos falham (causas comuns)
• Procedimento operacional (SOP) rápido
• Checklists por função (Administrador, Helpdesk, Auditor)
• Notas de segurança e privacidade
• Resumo e FAQs

Como identificar usuários conectados no Windows Server

A seguir estão métodos práticos, com passos e exemplos. Em todos os casos execute as janelas de comando com permissões administrativas quando indicado.

1. Ver sessões remotas com PowerShell / linha de comando

Passos rápidos:

1. Abra o PowerShell como Administrador (clique com o botão direito > Executar como Administrador).
2. Digite o comando:

net session

3. Pressione Enter.

O comando net session lista usuários que estão conectados remotamente ao servidor (acessando pastas compartilhadas), junto com endereços IP e tempo de conexão. Observações:

• Requer o serviço “Servidor” (Server) em execução no host.
• Retorna apenas sessões que usam compartilhamentos; não mostra necessariamente sessões RDS/Terminal.

Comandos alternativos úteis:

• Para ver sessões de Área de Trabalho Remota (RDS):

query user

ou

qwinsta

Estes mostram usuários conectados via sessões interativas (RDP) com IDs de sessão, estado (Active/Disc), e tempo.

2. Listar logins locais com PsLoggedOn (Sysinternals)

PsLoggedOn é parte das PsTools da Microsoft/Sysinternals e mostra quem está logado localmente e quem acessa recursos sem login interativo.

Passos:

1. Baixe PsTools no site da Microsoft Sysinternals e extraia o ZIP.
2. Copie psloggedon.exe para uma pasta, por exemplo C:\pstools.
3. Abra o Prompt de Comando como Administrador.
4. Navegue até a pasta: cd C:\pstools
5. Execute:

psloggedon

Saída: lista de contas locais com sessão interativa e contas que acessam recursos remotamente.

Exemplos e variações:

• Para checar um servidor remoto:

psloggedon \\NomeDoServidor

• Para procurar por um usuário específico na rede:

psloggedon usuario

Notas:

• PsLoggedOn depende de permissão administrativa/credenciais apropriadas.
• A ferramenta deve ser executada em uma conta com privilégios de rede para interrogar servidores remotos.

3. Usar o Gerenciador de Tarefas (acesso direto ou RDS)

Passos:

1. No servidor com sessão local ou RDP, pressione Ctrl + Shift + Esc para abrir o Gerenciador de Tarefas.
2. Vá até a guia Usuários.
3. Você verá contas atualmente conectadas, estado da sessão (Ativa/Desconectada) e uso de recursos por sessão.

Bom para: identificar sessões ativas e encerrar processos por usuário quando necessário. Funciona melhor para logins locais e sessões RDS.

Comandos e snippets úteis (cheat sheet)

• Listar sessões de compartilhamento: net session
• Listar sessões RDP: query user ou qwinsta
• Ver usuários locais conectados: psloggedon (Sysinternals)
• Consultar logs de segurança (eventos de logon bem sucedido): filtrar Event ID 4624 no Visualizador de Eventos

Exemplo PowerShell para filtrar eventos de logon bem-sucedido (Event ID 4624):

Get-EventLog -LogName Security -InstanceId 4624 -Newest 200

(Use Get-WinEvent para filtros mais avançados em sistemas modernos.)

Quando esses métodos podem falhar — causas comuns

• Serviço “Server” desabilitado: net session retorna vazio.
• Firewall ou políticas de rede bloqueando RPC/SMB impede consultas remotas.
• PsLoggedOn sem credenciais administrativas adequadas não lista contas remotas.
• Sessões de serviços (contas de serviço) aparecem sem um usuário humano associado.
• Sessões desconectadas (ghost sessions) podem não liberar handles e continuar a consumir recursos.

Importante: alguns utilitários dependem de portas e APIs que podem estar restritas em ambientes segmentados ou com endpoint protection agressivo.

Procedimento operacional padrão (SOP) rápido — checando e agindo

1. Identificar objetivo: auditoria, resolver uso de recursos ou desconectar sessão.
2. Verificar sessões remotas: executar net session (PowerShell/Prompt com privilégios).
3. Verificar sessões RDP: executar query user / qwinsta.
4. Mapear contas com processo/uso: Gerenciador de Tarefas > Usuários.
5. Se encontrar sessão órfã: encerrar sessão com logoff ou via Gerenciador de Tarefas.
6. Registrar ação: anotar usuário, ID de sessão, hora e justificativa (importante para auditoria).
7. Se for atividade suspeita: isolar a máquina e iniciar investigação de segurança.

Checklists por função

Administrador de Sistema:

• Executar net session e query user.
• Verificar serviços dependentes (Server, RDP).
• Documentar e, se necessário, encerrar sessões órfãs.

Helpdesk/TI de 1º Nível:

• Verificar Gerenciador de Tarefas > Usuários para sessões locais.
• Pedir ao usuário que confirme ID de sessão ou horário.
• Escalar para administrador se sessão persistir.

Auditor/Compliance:

• Consultar Visualizador de Eventos > Segurança (Event ID 4624/4625) para histórico.
• Validar políticas de retenção e logs.

Mini-metodologia: triagem rápida (5 minutos)

1. net session — confere acessos de compartilhamento.
2. query user — confere sessões interativas.
3. Gerenciador de Tarefas > Usuários — vê consumo de recursos por sessão.
4. Event Viewer — busca event IDs para confirmar histórico.
5. Ação: documentar, encerrar, ou escalar.

Notas de segurança e privacidade (GDPR e registros)

• Logs de autenticação contêm identificadores pessoais (nomes de usuário, IPs). Trate esses dados conforme políticas internas e legislação aplicável.
• Configure retenção de logs e acesso restrito: apenas administradores e auditoria devem acessar registros de segurança.
• Para investigações, capture evidências (logs e capturas) antes de encerrar sessões ou reiniciar serviços.

Alternativas e complementos

• Event Viewer (Visualizador de Eventos): pesquisar Event ID 4624 (logon bem-sucedido) e 4625 (falha de logon).
• Ferramentas de terceiros de gerenciamento de sessão e monitoramento (SIEM) para correlação e histórico.
• Políticas de tempo limite e desconexão automática para evitar sessões ociosas.

Casos em que você deve pedir intervenção de segurança

• Acesso de usuário desconhecido de IPs externos.
• Múltiplas tentativas de logon falhadas seguidas.
• Sessões com scripts/processos que consomem CPU ou I/O anômalos.

Resumo

Encontrar quem está conectado ao Windows Server é um conjunto de técnicas simples: net session para compartilhamentos, query user/qwinsta para sessões RDP, PsLoggedOn para logins locais e o Gerenciador de Tarefas para inspeção rápida de processos por usuário. Combine esses métodos com logs do Visualizador de Eventos para auditoria e investigação.

FAQs

Como posso ver quem está conectado remotamente ao Windows Server? Execute net session em uma janela do PowerShell/Prompt aberta como Administrador; ele lista conexões remotas a compartilhamentos com IPs.

Que ferramenta mostra logins locais no Windows Server? O PsLoggedOn (parte das PsTools da Sysinternals) exibe usuários com sessão local e quem acessa recursos sem login interativo.

Posso usar o Gerenciador de Tarefas para verificar logins? Sim. Abra o Gerenciador de Tarefas (Ctrl+Shift+Esc) e acesse a guia Usuários para ver sessões ativas e desconectadas.

O Windows Server registra todas as tentativas de login? Sim — o Visualizador de Eventos (logs de Segurança) registra tentativas de logon; Event ID 4624 indica logon bem-sucedido.

O PsLoggedOn é seguro? Sim. É uma ferramenta oficial do Sysinternals (Microsoft) amplamente usada por administradores.