我公司的远程工作人员使用一个程序来捕获和存储数据。该程序有一个名为“调度程序”的后台服务,它按照预定的时间表连接到我们的家庭办公室并将数据传输回我们的家庭办公室。我们在域环境中拥有 Win7/Win10 pro 的混合环境。
我时常会注意到数据上传已经有一段时间没有发生了。当我调查原因时,我几乎总是发现同样的问题。调度程序服务启动类型已从“自动”更改为“手动”,并且服务未运行。我曾尝试与软件供应商合作来确定问题,但他们声称他们的软件中没有任何内容可以改变 Windows 服务的状态或配置,因此这一定是 Windows 问题,因此超出了他们的支持范围……
该服务以本地系统身份运行,并且没有依赖项。我注意到,恢复选项全部设置为“不采取任何措施”,这解释了为什么服务故障不会导致重新启动,但并未解释启动类型的变化。
我的问题是:除了直接用户操作之外,什么因素会导致 Windows 服务启动类型发生改变?
我猜测是组策略或 AV。
我已经创建了一个 Windows 调度程序任务并编写了一个批处理文件,用于检查以确保每次用户登录时服务都配置正确,但我真的很想找出问题的根本原因,以便修复它。任何帮助引导我朝着正确方向发展的帮助都将不胜感激。
答案1
您可以通过 GPO(在域级别或本地通过 gpedit.msc)配置服务的启动模式。
检查计算机配置>策略>Windows 设置>安全设置>系统服务
我遇到了一个类似的难以追踪的问题,因为我使用 GPO 来配置服务上的安全设置,而不一定设置启动模式。
正如 Doug Deden 所说:查找事件 ID 7040。记下时间。然后查看组策略的事件日志,看看是否有 ID 为 8006 的事件:“在 ... 秒内完成了计算机 ... 的定期策略处理。”比较这两个时间。如果它们大致匹配,那么可能就是这个。