Windowsサービスを無効にしたユーザーを確認する
私はいくつかの障害発見を行っていて、automaticに設定する必要がある2つのサービスがdisabledに設定されていることを発見しました。
誰がこれをしたのかを知る最良の方法は何ですか?それは私の会社の誰かかもしれませんし、クライアント側の誰かかもしれません。ユーザーアカウントを特定するだけで十分です。
私はWindowsイベントビューアを確認しましたが、正直なところ、何を探しているのかわかりません。私には何も飛び出していないが、何を探しているのかわからないだけだと思う。
サービスの開始タイプが変更されると、イベントがシステムイベントログにID7040で記録されますおよびソースService Control Manager。
操作を実行したユーザーがイベントに表示されます(下のスクリーンショットでは難読化されています)。 
したがって、これらのイベントをイベントログで見つける必要があります。うまくいけば、直接ユーザー名を取得できます。
「管理者」などの一般的なユーザー名の場合は、一般的なアカウントの使用を停止し、イベントの日時を他のログから取得できる他の情報(Microsoftなど)と関連付ける必要があります。 -Windows-TerminalServices-LocalSessionManager/Operational(リモートデスクトップセッションのソースIPを提供できます)
イベントビューアーで、「Windowsログ」->「システム」イベントログを確認し、ソース「サービスコントロールマネージャー」とイベントID 7040をフィルターします。「開始タイプservice =興味があるサービスの元の開始タイプから無効に変更されました。それを見つけた場合、以下の詳細にリストされている「ユーザー」はユーザーですそれがその変化をもたらしました。