どのアカウントがUACを無効にしたかを調べます
誰かまたは何かが最近重要なサーバーでUACを無効にし、現在再起動を要求しています(これは発生しません)。どのアカウントがこれを無効にしたかを示すイベントがログにありますか?また、再起動せずに再度有効にして、「再起動」プロンプトを取り除くことはできますか?
ありがとう。
権限昇格はログオンイベントを生成するため、セキュリティログでイベントID 4648(対話型ログオン)および4624(ログオン試行の成功)が最後に発生したかどうかを確認します。
それ以外の場合は、UACポリシーを元に戻し、イベントログで生成されたイベントを確認してから、同様のイベントを検索します
Update:検索するイベントログエントリが大量にある場合は、 EventCombMT を使用して、上記を検索してください。言及されたイベント。少し古い学校ですが、1つ以上のWindowsマシンでイベントログエントリを収集して並べ替えるのに非常に便利です