找出谁禁用了 Windows 服务

Question

我正在做一些故障查找，我发现了两个应该automatic设置为disabled.

找出谁做这件事的最佳方法是什么？可能是我公司的某个人，也可能是客户端的某个人。确定用户帐户就足够了。

我已经查看了 Windows 事件查看器，但是，老实说，我不确定我在寻找什么，而且还有很多工作要做。什么都没有跳到我身上，但我怀疑这只是我不知道我在寻找什么。

Answer 1

当服务的启动类型发生变化时，系统事件日志中会记录一个事件，ID 为7040和源服务控制管理器。

执行操作的用户显示在事件中（在下面的屏幕截图中混淆）。

所以你必须在你的事件日志中找到这些事件；希望您将直接拥有用户名。

如果它是通用用户名，例如“管理员”，那么是时候停止使用通用帐户了，并且您必须将事件的日期/时间与您可以从其他日志中获得的其他信息相关联（例如：Microsoft -Windows-TerminalServices-LocalSessionManager/Operational 可以为您提供远程桌面会话的源 IP）

Answer 2

在事件查看器中，查看“Windows日志” - >“系统”事件日志和过滤器源“服务控制管理器”和事件ID 7040查找事件称“的启动类型的服务，从改变原有的启动类型为您感兴趣的服务禁用” 。当您发现该服务时，下面详细信息中列出的“用户”就是进行该更改的用户。