找出誰禁用了 Windows 服務

我正在做一些故障查找，我發現了兩個應該設置為automatic已設置為disabled.

找出是誰幹的最好的方法是什麼？可能是我公司的某個人，也可能是客戶端的某個人。確定使用者帳戶就足夠了。

我已經查看了 Windows 事件查看器，但老實說，我不確定我在尋找什麼，而且還有很多工作要做。什麼都沒有在我身上跳出來，但我懷疑這只是我不知道我在尋找什麼。

當服務的啟動類型發生變化時，系統事件日誌中會記錄一個事件，ID 為7040，源服務控制管理器。

執行操作的使用者顯示在事件中（在下面的螢幕截圖中被混淆）。

所以你必須在你的事件日誌中找到這些事件；希望您將直接擁有使用者名。

如果它是通用使用者名，例如“管理員”，那麼是時候停止使用通用帳戶了，您必須將事件的日期/時間與您可以從其他日誌中獲得的其他資訊關聯起來（例如：Microsoft -Windows-TerminalServices-LocalSessionManager/Operational，可以為您提供遠端桌面會話的源 IP）

引用自：https://serverfault.com/questions/855238