找出谁禁用了Windows服务

我做了一些故障查找，并且我发现它应被设置为两个服务automatic都被设置为disabled。

找出谁这样做的最好方法是什么？可能是我公司的某人，也可能是客户端的某人。确定用户帐户就足够了。

我已经在Windows Event Viewer中进行了查看，但是老实说，我不确定要查找的内容，并且还有很多工作要做。一切都没有冲向我，但我怀疑只是我不知道我在寻找什么。

更改服务的启动类型后，系统会将事件记录在系统事件日志中，其ID为7040和源服务控制管理器。

事件中将显示执行该操作的用户（在下面的屏幕快照中被混淆）。

因此，您必须在事件日志中找到这些事件；希望您将直接拥有用户名。

如果它是通用用户名，例如“ administrator”，那么就该停止使用通用帐户了，您必须将事件的日期/时间与从其他日志中获得的其他信息（例如：Microsoft）相关联-Windows-TerminalServices-LocalSessionManager / Operational，可以为您提供远程桌面会话的源IP）

在事件查看器中，查看“Windows日志” - >“系统”事件日志和过滤器源“服务控制管理器”和事件ID 7040查找事件称“的启动类型的服务，从改变原有的启动类型找到您感兴趣的服务的 “禁用” 。找到后，下面详细信息中列出的“用户”就是进行此更改的用户。