サービスを再開するユーザーのユーザー名をログに記録する

あなたは正しいです。 [イベントビューア]> [システム]タブサービスコントロールマネージャーは、サービスを開始および停止したユーザーをログに記録しなくなりました。 ワークステーションサービスが実行状態になりました。のようなメッセージのみが表示されますが、何についても表示されません。ユーザー/プロセス/サービスが原因で起動しました。

Windows Server 2008以降でサービスを開始および停止しているユーザーを監査するには、次のように手動で作業する必要があります。

• IT Pro Today、Randy Franklin Smith、2002-04-16、 アクセスが拒否されました：サービスを開始および停止している可能性のあるユーザーの監査 （アーカイブ済み ここ 。）

これは、重要なサーバーでサービスを開始および停止しているユーザーを監査するために使用した方法です。以下は、WindowsServerで目的のサービスを監査するために実行する手順です。詳細については、リンクを参照してください。

セキュリティテンプレートにアクセスするには、サーバーにログオンして、Microsoft管理コンソール（MMC）のセキュリティテンプレートスナップインを開きます。新しいテンプレートを作成するには、セキュリティテンプレートのパスを右クリックします。 [新しいテンプレート]を選択し、[システムサービス]をクリックしてから、適切なサービス（Telnetなど）をダブルクリックします。 [テンプレートでこのポリシー設定を定義する]チェックボックスをオンにし、[セキュリティの編集]をクリックして、図1に示す[Telnetのセキュリティ]ダイアログボックスを開きます。このダイアログボックスには、サービスのACLが含まれています。これを使用して、開始権限と停止権限を持つユーザーを微調整できます。 （サービスを開始および停止する権限の詳細については、「開始、停止、および一時停止の権限に関する問題のトラブルシューティング」、2002年3月、InstantDoc ID 23964を参照してください。）

[詳細設定]をクリックし、図2に示す[Telnetのアクセス制御設定]ダイアログボックスで[監査]タブを選択します。ご覧のとおり、監査はデフォルトで有効になっていないため、現在Telnetサービスで監査は有効になっていません。図3に示すように、[追加]をクリックし、エントリを追加して、Everyoneのメンバーが開始する成功した開始イベントと停止イベントを追跡します。すべてのダイアログボックスを閉じてから、テンプレートを保存します。テンプレートをMMC Security Configuration and Analysisスナップインにインポートし、テンプレートを適用します。これで、セキュリティログでイベントID 560（成功監査：オブジェクトを開く）を確認できます。ここで、ObjectタイプはSERVICEOBJECTで、オブジェクト名は監視しているサービスの短い名前（Telnetサービスの場合はTlntSvr）であり、ログに記録されるアクセスにはサービスの開始とサービスの停止が含まれます。図4の例ではが示すように、JoeがTelnetサービスを停止したことがわかります。

Active Directoryドメインがある場合は、ドメイングループポリシーを使用してこれを行うことができます。

1. GPOを作成し、関係するサーバーに適用します。
2. 編集して、Computer Policies > Windows Settings > Security Settings > System Services > whatever serviceに移動します（サービスを指定する必要があり、これをallサービスに簡単に適用することはできません）
3. このポリシー設定を定義しますそして適切な起動モードを選択します（デフォルトでは何でも）。クリックセキュリティの編集、詳細、監査タブ
4. ログに記録するユーザーとアクションをカバーする監査エントリを追加します。
5. Computer Policies > Windows Settings > Security Settings > Local Policies > Audit Policyの下で何かをさらに有効にする必要があるかどうかはわかりません-何らかの方法で適切なドキュメントが見つかりませんが、たとえばファイルの監査を設定する場合は、オブジェクトアクセスを有効にする必要があることを知っていますそれ以外の場合、監査は機能しません。

次に、サービスに対するアクションをサーバーのセキュリティイベントログに記録する必要があります。