Scopri chi ha disabilitato un servizio Windows

29

Stavo facendo un po 'di ricerca dei guasti e ho scoperto due servizi che avrebbero automaticdovuto essere impostati su disabled.

Qual è il modo migliore per scoprire chi ha fatto questo? Potrebbe essere qualcuno della mia azienda o potrebbe essere qualcuno sul lato client. Basterebbe determinare l'account utente.

Ho dato un'occhiata al Visualizzatore eventi di Windows, ma, a dire il vero, non sono sicuro di cosa sto cercando, e c'è molto da lavorare. Non mi è saltato fuori niente, ma sospetto sia solo che non so cosa sto cercando.

windows-server-2008  service  eventviewer 
Paul Brindley
fonte
7
Grazie a quelli che mi hanno dato risposte utili. Scopri chi era. Si è anche scoperto che li hanno disattivati ​​per una buona ragione e dopo che si è verificato il problema che sto indagando. Torna ai file di registro del programma per ulteriori contatti!
Paul Brindley,
4
Per i futuri lettori (dato che ovviamente non sei tu, Paul): Renditi conto che assegnare la colpa in genere non è una cosa utile da fare. Va bene usare queste informazioni per scoprire chi puoi porre domande e scoprire cosa sta succedendo e forse dire loro perché è una cattiva idea, ma evita di usarle come scusa per minacciare o maltrattare qualcuno.
jpmc26,
4
In questo caso volevo sapere perché gestiamo il servizio, ma il server appartiene al client e quindi sarebbe stato utile sapere se abbiamo sbagliato o se il team del server del client ha cambiato qualcosa. Inoltre, volevo assicurarmi che fosse corretto riaccenderlo, dopo tutto quello che avevo ipotizzato fosse un errore, ma avrebbe potuto esserci una buona ragione per cui quel servizio avrebbe dovuto interrompere l'elaborazione dei file. Alla fine la risposta è stata sì, stavano migrando un database quindi il servizio è stato disattivato mentre il database non era disponibile. Ma hanno dimenticato di riaccenderlo quando hanno finito.
Paul Brindley,

Risposte:

39

Quando si modifica il tipo di avvio di un servizio, nel registro eventi di sistema viene registrato un evento con ID 7040 e Gestione controllo servizi di origine .

L'utente che ha eseguito l'operazione viene visualizzato nell'evento (offuscato nella schermata seguente). inserisci qui la descrizione dell'immagine

Quindi devi trovare quegli eventi nei tuoi registri eventi; spero che tu abbia direttamente il nome utente.

Se si tratta di un nome utente generico, ad esempio "amministratore", è ora di smettere di utilizzare l'account generico e dovrai correlare la data / ora dell'evento con altre informazioni che potresti ottenere da altri registri (come: Microsoft -Windows-TerminalServices-LocalSessionManager / Operational che può fornirti l'IP di origine di una sessione di desktop remoto)

JFL
fonte
11

Nel Visualizzatore eventi, cerca nel registro eventi "Registri di Windows" -> "Sistema" e filtra per "Gestione controllo servizi" di origine e ID evento 7040. Trova l'evento che dice "Il tipo di avvio del servizio è stato modificato dal tipo di inizio originale disabilitato "per il servizio che ti interessa. Quando lo trovi, l '" Utente "elencato nei dettagli di seguito è l'utente che ha apportato la modifica.

Pak
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.