Команда QUERY используется для получения информации об использовании терминальных серверов пользователями, выполнившими подключение к удаленным рабочим столам по протоколу RDP (Remote Desktop Protocol). Позволяет получить сведения о подключениях и некоторые статистические данные об использовании ресурсов терминальных серверов.

1. Описание команды QUERY.

1.1. Команда применяется в одном из контекстов:

C:\ QUERY { PROCESS | SESSION | TERMSERVER | USER }

По каждому из контекстов можно получить подсказку по использованию. Отобразить справочную информацию об использовании команды query process — сведения о процессах:

C:\ query PROCESS /?

Команда QUERY PROCESS может быть заменена командой QPROCESS, команда QUERY USER – командой QUSER, команда QUERY SESSION – командой QWinsta, команда QERY TERMSERVER – командой Qappsrv.

2. QUERY SESSION.

2.1. Для получения сведений о сеансах пользователей используется команда:

C:\ QUERY SESSION [имя сеанса | пользователь | ID сеанса] [/SERVER:сервер] [/MODE] [/FLOW] /CONNECT] [/COUNTER] [/VM]
  • имя сеанса — Имя сеанса.
  • пользователь — Сеанс пользователя с этим именем.
  • ID сеанса — Идентификатор сеанса.
  • /SERVER:сервер — Опрашиваемый сервер (по умолчанию текущий).
  • /MODE — Отображение текущих параметров линии. Используется при удаленном подключении с использованием последовательных линий связи.
  • /FLOW — Отображение текущих параметров управления потоком. Используется при удаленном подключении с использованием последовательных линий связи .
  • /CONNECT — Отображение текущих параметров подключения.
  • /COUNTER — Отображение информации счетчиков служб удаленных рабочих столов.
  • /VM — Отображение информации о сеансах в виртуальных машинах.

2.2. Примеры использования.

2.2.1. Отобразить сведения о сеансах всех пользователей терминального сервера rdserver1:

C:\ query session /server:rdserver1

Пример отображаемой информации:

СЕАНС
rdp-tcp#2


rdp-tcp#0
rdp-tcp#1

rdp-tcp
ПОЛЬЗОВАТЕЛЬ
netadmin
termuser
User
RDPuser1
Samara
buhgalt9
ukit
ID
2
3
7
9
15
266
65536		СТАТУС
Активно
Диск
Диск
Активно
Активно
Диск
Прием
ТИП
rdpwd


rdpwd
rdpwd



УСТР-ВО







2.2.2. Отобразить сведения о параметрах последовательного порта — скорость передачи, длина посылки, тип контроля четности, длина стоповых бит:

C:\ query session /server:rdserver /mode

2.2.3. Отобразить статистические сведения о сеансах удаленного рабочего стола сервера SERVER:

C:\ query session /server:SERVER /counter

В этом случае, кроме списка активных сеансов, отображается еще и статистика в виде :

Всего сеансов создано: 185955

Всего сеансов отключено: 186146

Всего сеансов переподключено: 261

2.2.4. Отобразить сведения о сеансе с идентификатором ID=1446:

C:\ query session 1446

2.2.5. отобразить сведения о сеансе пользователя admin:

C:\ query session admin /server:rdpserver
  • qwinsta — отобразить информацию о всех сеансах всех пользователей текущего компьютера. Локальные сеансы отображаются с именем console, удаленные – rdp-tcp#N

3. QUERY TERMSERVER.

3.1. Для получения сведений о терминальных серверах домена используется команда:

C:\ QUERY TERMSERVER [имясервера] [/DOMAIN:домен] [/ADDRESS] [/CONTINUE]

3.2. Параметры командной строки:

  • имя_сервера — Задает сервер, обслуживающий сеансы подключения к удаленному рабочему столу.
  • /DOMAIN:домен — Отображение информации для указанного домена (по умолчанию для текущего домена).
  • /ADDRESS — Отображение адресов сети и узлов.
  • /CONTINUE — Не останавливаться при заполнении каждого экрана.

3.3. Примеры использования.

3.3.1. Отобразить информацию о всех терминальных серверах текущего домена:

C:\ query termserver

3.3.2. отобразить информацию о терминальном сервере RDserver текущего домена, включая его адрес:

C:\ query termserver RDserver /ADDRESS

3.3.3. Отобразить информацию о терминальных серверах домена MyDom:

C:\ qappsrv.exe /domain:MyDom

4. QUERY PROCESS.

4.1. Для отображения сведений о процессах используется команда:

C:\ QUERY PROCESS [* | < ID процесса > | < пользователь > | < имя сеанса > | /ID:nn < имя программы >] /SERVER:< сервер >]

4.2. Параметры командной строки:

  • * — Отображать все видимые процессы.
  • ID процесса — Отображение процесса, заданного этим идентификатором.
  • пользователь — Отображение всех процессов для данного имени пользователя.
  • имя сеанса — Отображение всех процессов для указанного сеанса.
  • /ID:nn — Отображение всех процессов для сеанса nn.
  • имя программы — Отображение всех процессов, связанных с этой программой.
  • /SERVER:имя_сервера Опрашиваемый сервер, обслуживающий сеансы подключения к удаленному рабочему столу.

4.3. Примеры использования QPROCESS.

4.3.1. Отобразить подсказку по использованию команды:

C:\ QUERY PROCESS /?

4.3.2. Отобразить сведения обо всех видимых процессах:

C:\ QUERY PROCESS *

4.3.3. При выполнении команды без параметров, отображаются сведения о процессах текущего пользователя:

C:\ QUERY PROCESS

4.3.4. Отобразить процессы текущего пользователя на сервере с именем winsrv:

C:\ QUERY PROCESS /server:winsrv

4.3.5. Отобразить процессы текущего пользователя на сервере с IP-адресом 192.168.0.1:

C:\ QUERY PROCESS /server:192.168.0.1

4.3.6. Отобразить сведения о процессах, выполняющихся в контексте пользователя с именем user1:

C:\ QUERY PROCESS user1

4.3.7. Отобразить сведения о системных процессах:

C:\ query process система

4.3.8. Отобразить сведения о процессах, связанных с исполняемым файлом svchost.exe:

C:\ QUERY PROCESS svchost.exe

4.3.9. При получении сведений о процессах, связанных с исполняемым файлом, указывать расширение обязательно. отобразить сведения о процессах, связанных с исполняемым файлом services.exe:

C:\ query process services.exe

4.3.10. Отобразить сведения о процессах, связанных с сеансом services:

C:\ query process services

4.3.11. Отобразить все процессы сеанса console — локального пользователя Windows:

C:\ query process console

4.3.12. Отобразить все процессы, связанные с удаленным сеансом rdp-tcp#0:

C:\ query process rdp-tcp#0

4.3.13. Отобразить процессы сеанса с идентификатором 144:

C:\ QPROCESS /ID:144

Пример отображаемой информации:

ПОЛЬЗОВАТЕЛЬ
(нет данных)
(нет данных)
система
система
система
система
система
система
dwm-1
local service
network service
user1
user1
user1
user1
user1
СЕАНС
services
services
services
services
services
console
console
services
console
services
services
console
console
console
console
console
ID
0
0
0
0
0
1
1
0
1
0
0
1
1
1
1
1
PID
0
4
288
428
484
492
536
592
812
828
496
2220
1772
3528
3548
948
ОБРАЗ

system
smss.exe
csrss.exe
wininit.exe
csrss.exe
winlogon.exe
services.exe
dwm.exe
svchost.exe
svchost.exe
taskhostex.exe
explorer.exe
cmd.exe
conhost.exe
qprocess.exe

4.3.14. При большом объеме информации, можно использовать команду QUERY PROCESS в цепочке с командой more :

C:\ Query Process | more

5. QUERY USER.

5.1. Для получения сведений о пользователях используется команда:

C:\ QUERY USER [< пользователь > | < имя сеанса > | < ID сеанса >] [/SERVER:< сервер >]

5.2. Параметры командной строки:

  • пользователь — Имя пользователя.
  • имя сеанса — Имя сеанса.
  • ID сеанса — Идентификатор сеанса.
  • /SERVER:сервер — Опрашиваемый сервер (по умолчанию — текущий).

5.3. Примеры использования команды QUERY USER:

5.3.1. Отобразить подсказку по использованию команды:

C:\ QUERY USER /?

5.3.2. При выполнении команды QUERY USER без параметров, отображаются сведения о всех пользователях, вошедших в систему на данный момент времени:

C:\ QUERY USER

Пример отображаемой информации:

ПОЛЬЗОВАТЕЛЬ
user1
user2
СЕАНС
console
rdp-tcp#0
ID
1
1
СТАТУС
Активно
Активно
БЕЗДЕЙСТВ.
.
.
ВРЕМЯ ВХОДА
06.08.2017 6:07
06.08.2017 6:07

При выполнении команды, отображаются имена пользователей, тип сеанса, идентификатор, статус, время бездействия и время входа в систему. В примере, пользователь user1 вошел в систему локально ( сеанс console, а пользователь user2 — удаленно (сеанс rdp-tcp#0)

5.3.3. отобразить информацию о пользователях, вошедших в систему на компьютере с именем winsrv:

C:\ QUERY USER /server:winsrv

Результат выполнения команды зависит от прав пользователя по отношению к удаленной системе и настроек брандмауэра.

5.3.4. отобразить информацию о пользователях, вошедших в систему на компьютере с IP-адресом 192.168.0.1:

C:\ QUSER /server:192.168.0.1