누가 Windows 서비스를 비활성화했는지 확인

29

오류를 찾고 있었는데로 설정되어 automatic있어야 하는 두 가지 서비스를 발견 했습니다 disabled.

누가이 일을했는지 알아내는 가장 좋은 방법은 무엇입니까? 회사의 누군가 일 수도 있고 클라이언트 쪽일 수도 있습니다. 사용자 계정을 결정하는 것으로 충분합니다.

Windows 이벤트 뷰어를 살펴 보았지만 솔직히 말하면 내가 찾고있는 것이 확실하지 않으며 많은 작업이 필요합니다. 아무것도 나에게 튀어 나오지 않았지만, 나는 내가 찾고있는 것을 모른다고 생각합니다.

windows-server-2008 service eventviewer

— 폴 브린 들리
소스

7

도움이 된 답변 덕분입니다. 누구인지 알아 냈어 또한 그들이 좋은 이유 때문에 그것들을 끈 것으로 밝혀졌으며, 내가 조사 한 문제가 발생한 후. 더 많은 리드를 위해 프로그램 로그 파일로 돌아 가기

— Paul Brindley

4

장래의 독자들에게는 (이것은 분명히 당신이 아니기 때문에, Paul) : 비난을 할당하는 것이 일반적으로 유용한 일이 아니라는 것을 인식하십시오. 이 정보를 사용하여 질문을 할 수있는 사람을 찾고 진행 상황을 파악하고 왜 나쁜 생각인지 알 수 있지만이 정보를 다른 사람을 위협하거나 학대하는 변명으로 사용하지 마십시오.

— jpmc26

4

이 경우 서비스를 관리하기 때문에 알고 싶었지만 서버는 클라이언트에 속하기 때문에 우리가 엉망인지 또는 클라이언트의 서버 팀이 무언가를 변경했는지를 아는 것이 유용했을 것입니다. 또한 실수라고 생각한 후에 다시 설정해도 괜찮은지 확인하고 싶지만 해당 서비스가 파일 처리를 중지해야하는 이유가있을 수 있습니다. 결국 대답은 그렇습니다. 데이터베이스를 마이그레이션하고 있었으므로 데이터베이스를 사용할 수없는 동안 서비스가 꺼졌습니다. 그러나 그들은 끝났을 때 다시 켜는 것을 잊었습니다.

— Paul Brindley

39

서비스의 시작 유형이 변경되면 이벤트는 id 7040 및 소스 Service Control Manager 와 함께 시스템 이벤트 로그에 기록됩니다 .

작업을 수행 한 사용자가 이벤트에 표시됩니다 (아래 스크린 샷에서 난독 처리됨).

따라서 이벤트 로그에서 해당 이벤트를 찾아야합니다. 바라건대 당신은 직접 사용자 이름을 가질 것입니다.

"administrator"와 같은 일반 사용자 이름 인 경우 일반 계정 사용을 중지해야합니다. 이벤트 날짜 / 시간을 다른 로그에서 얻을 수있는 다른 정보 (예 : Microsoft)와 상관시켜야합니다. -원격 데스크톱 세션의 소스 IP를 제공 할 수있는 Windows-TerminalServices-LocalSessionManager / Operational)

— JFL
소스

11

이벤트 뷰어의 "Windows 로그"에서 찾는 - 소스 "서비스 제어 관리자"및 이벤트 ID 7040. "의 시작 유형 말하는 이벤트 찾기에 대한>"시스템 "이벤트 로그 및 필터 서비스가 변경되었습니다 원래 시작 유형 관심 있는 서비스의 경우 '사용 안함'으로 설정 하십시오. 아래 세부 사항에 나열된 "사용자"는 해당 변경을 수행 한 사용자입니다.

— 박
소스