Windows-Server-2008
找出誰禁用了 Windows 服務
我正在做一些故障查找,我發現了兩個應該設置為
automatic
已設置為disabled
.找出是誰幹的最好的方法是什麼?可能是我公司的某個人,也可能是客戶端的某個人。確定使用者帳戶就足夠了。
我已經查看了 Windows 事件查看器,但老實說,我不確定我在尋找什麼,而且還有很多工作要做。什麼都沒有在我身上跳出來,但我懷疑這只是我不知道我在尋找什麼。
當服務的啟動類型發生變化時,系統事件日誌中會記錄一個事件,ID 為7040,源服務控制管理器。
所以你必須在你的事件日誌中找到這些事件;希望您將直接擁有使用者名。
如果它是通用使用者名,例如“管理員”,那麼是時候停止使用通用帳戶了,您必須將事件的日期/時間與您可以從其他日誌中獲得的其他資訊關聯起來(例如:Microsoft -Windows-TerminalServices-LocalSessionManager/Operational,可以為您提供遠端桌面會話的源 IP)