Проблема такого рода. Начали сервак переносить, смотрим на шаре к нему постоянно лезут ПК, хотя лезть вроде как не должны.
У юзеров на ПК, происходят запросы на ИП адрес сервера по 445 порту, от процесс ИД 4 - то есть system.
Есть подозрения, что где-то сидит скрипт PS и делает Invoke-Command {......} Основные политики ГПО просмотрели, в планеровщиках во всех очевидных местах тоже нет скрипта, на ПК юзеров тоже нет.
Не посоветуете как лучше всего отловить негодяя? Или от имени какого Юзера запускает или с какого ПК происходит запрос?

Серверов много, 2008, 2012, конкретно этот который хотим убрать под 2008

к каким ресурсам лезут? посмотрите открытые файлы на сервере, что там показывает?

Они просто обращаются к расшаренной папке и пытаются скрипт там запустить. По-моему это не имеет ни какого значения

? скрипт
это все видно в мониторинге шары, открытые файлы

Он запускает от того юзера, что залогинен на ПК, на шару лезет залогиненный юзер. Авторизацию в скрипте можно прописать разную. Можно лезть от админа и запускать скрипт, а можно под правами юзера.

А вот сам скрипт с какого ПК или сервера, ломиться на все ПК. ПО этому отлавливать нужно на конкретном ПК юзера.

PS
тему просил уже 3 раза перевести в раздел вин 10, так как к серверу эта тема не имеет ни какого отношения. Шара могла быть на ПК или на НАСе, было бы ровно тоже самое. Да и скрипт может быть банально на каком-нибудь терминале...