记录重新启动服务的人的用户名

你说得对。事件查看器 > 系统选项卡服务控制管理器不再记录谁启动和停止了服务。你只会看到类似这样的消息Workstation服务进入运行状态。但没有关于哪个用户/进程/服务导致它启动的信息。

要审核谁在 Windows Server 2008 及更高版本中启动和停止服务，您需要执行一些手动工作，如下所述：

• 当今 IT 专业人士，兰迪·富兰克林·史密斯，2002 年 4 月 16 日，拒绝访问：审核可能启动和停止服务的用户（存档这里。

这是我用来审核谁在关键服务器上启动和停止服务的方法。以下是在 Windows Server 上审核所需服务的步骤。请参阅链接以获取更多信息。

要访问安全模板，请登录到服务器并打开 Microsoft 管理控制台 (MMC) 安全模板管理单元。要创建新模板，请右键单击安全模板路径。选择“新模板”，单击“系统服务”，然后双击相应的服务（即 Telnet）。选中“在模板中定义此策略设置”复选框，然后单击“编辑安全性”以打开图 1 所示的“Telnet 安全性”对话框。此对话框包含服务的 ACL，您可以使用它来微调谁有启动和停止权限。（有关启动和停止服务权限的更多信息，请参阅“解决启动、停止和暂停权限问题”，2002 年 3 月，InstantDoc ID 23964。）

单击“高级”，然后在“Telnet 的访问控制设置”对话框中选择“审核”选项卡，如图 2 所示。如您所见，目前 Telnet 服务上未启用任何审核，因为默认情况下未启用审核。单击“添加”，然后添加一个条目来跟踪 Everyone 成员发起的成功启动和停止事件，如图 3 所示。关闭所有对话框，然后保存模板。将模板导入 MMC 安全配置和分析管理单元，然后应用模板。现在，您可以检查安全日志中的事件 ID 560（成功审核：对象打开），其中对象类型为服务对象，对象名称是您正在监视的服务的简称（对于 Telnet 服务，为 TlntSvr），记录的访问包括启动服务和停止服务。在图 4 显示的示例中，您可以看到 Joe 停止了 Telnet 服务。

如果您有一个 Active Directory 域，则可以使用域组策略执行此操作：

1. 制作一个 GPO 并将其应用到相关服务器。
2. 编辑它，转到Computer Policies > Windows Settings > Security Settings > System Services > whatever service（您需要指定服务，并且不能很容易地将其应用于全部服务）
3. 定义此策略设置并选择适当的启动模式（默认为任意模式）。点击编辑安全性，先进的，审计标签
4. 添加审计条目以涵盖您想要记录的用户和操作。
5. 我不确定您是否还需要启用任何内容Computer Policies > Windows Settings > Security Settings > Local Policies > Audit Policy- 我没有找到任何适当的文档，但知道如果您正在设置文件审核，例如，您需要启用对象访问审核，否则它不起作用。

然后，应将对服务的操作记录在服务器上的安全事件日志中。