Windowsサービスを無効にしたユーザーを見つける

29

私はいくつかの障害検出を行っていましたが、に設定する必要がある2つのサービスを発見automaticしましたdisabled

誰がこれをしたのかを知る最良の方法は何ですか?私の会社の人でも、クライアント側の人でもかまいません。ユーザーアカウントを特定すれば十分です。

Windowsイベントビューアーを見てきましたが、正直なところ、何を探しているのかわかりません。何も飛び出していませんが、探しているものがわからないだけだと思います。

windows-server-2008  service  eventviewer 
ポール・ブリンドリー
ソース
7
有益な答えをくれた人々に感謝します。それが誰であるかを見つけました。また、彼らは正当な理由でそれらをオフにし、問題を調査した後に発生しました。プログラムログファイルに戻り、さらにリードを獲得してください!
ポールブリンドリー
4
将来の読者のために(これは明らかにあなたではないので、Paul):非難を割り当てることは一般的に行うのに有用なものではないことを理解してください。この情報を使用して、誰に質問して何が起こっているのかを調べ、それが悪い考えである理由を伝えるために使用しても構いませんが、これを誰かを脅したり虐待したりする言い訳としては使用しないでください。
jpmc26
4
この場合、サービスを管理しているので知りたいのですが、サーバーはクライアントに属しているため、混乱したか、クライアントのサーバーチームが何かを変更したかどうかを知ることは有用でした。さらに、間違いだと思っていたので、再度有効にしても問題ないようにしたかったのですが、そのサービスがファイルの処理を停止するのには十分な理由があったのかもしれません。結局、答えはイエスでした。彼らはデータベースを移行していたので、データベースが利用できない間はサービスがオフになりました。しかし、彼らはそれが終わったときにそれをオンに戻すのを忘れていました。
ポールブリンドリー

回答:

39

サービスの開始タイプが変更されると、イベントがシステムイベントログにid 7040およびソースService Control Managerとともに記録されます

操作を実行したユーザーは、イベントに表示されます(下のスクリーンショットで不明瞭になっています)。 ここに画像の説明を入力してください

そのため、イベントログでそれらのイベントを見つける必要があります。うまくいけば、ユーザー名を直接持っているでしょう。

「管理者」などの一般的なユーザー名の場合は、一般的なアカウントの使用を停止します。イベントの日付/時刻を他のログから取得できる他の情報と関連付ける必要があります(Microsoft: -Windows-TerminalServices-LocalSessionManager / Operationalは、リモートデスクトップセッションのソースIPを提供できます)

JFL
ソース
11

イベントビューア、「Windowsログ」で見て-ソース「サービスコントロールマネージャー」およびイベントID 7040.「の開始タイプ言ってイベント検索のための>「システム」イベントログ、およびフィルタサービスがからに変更された元の開始タイプ関心のあるサービスについては、「無効」になります。それを見つけた場合、以下の詳細にリストされている「ユーザー」は、その変更を行ったユーザーです。


ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.