某人或某物最近在关键服务器上禁用了 UAC,现在要求重新启动(这不可能发生)。日志中是否有事件可以告诉我哪个帐户禁用了它?我是否可以在不重新启动的情况下重新启用它以摆脱“重新启动”提示?
谢谢。
答案1
权限提升会产生登录事件,因此请注意安全日志中事件 ID 4648(交互式登录)和 4624(成功登录尝试)的最后出现。
否则,请将 UAC 策略改回来,并检查事件日志中生成的事件 - 然后搜索类似事件
更新:如果您有大量事件日志条目需要搜索,请尝试使用EventCombMT并搜索上述事件。这有点老套,但对于收集和排序一台或多台 Windows 计算机上的事件日志条目非常有用