如何确定谁安装了一个程序？

根据您的日志级别，您可能能够查看事件日志并查看谁称为安装程序。

实际上，我只是在默认的2008 R2虚拟机上安装了Adobe Reader，并且发现它logging了安装该程序的用户。 有点。

EventID 1040，Source：MsiInstaller UserID：[GUID]。

将这个GUID关联到一个用户，而你是黄金。

当然，如果您处于没有日志条目的不幸状态，最好的办法就是查看是否可以确定何时安装它，并将其与安全事件日志相关联以确定当时有一个交互式login会话。

Adobe安装程序日志可能更有助于缩小安装的精确时间，因为您的日志logging级别甚至可能没有在事件日志中logging非MS应用程序安装。 无论哪种方式，这可能是一个确切的时间，并通过安全日志，以确定谁在这段时间内有一个开放的types2或types10login的问题 。

这真的是一种痛苦，如果你是一个将被降级登陆的人，那么做一个快速的成本/收益分解可能不是一个可怕的主意，不完全确定的]信息，因为它不完全是一支吸烟枪。 它会给你一个非常强大的例子，但是除非你有足够高的日志级别去查看哪个用户被称为安装程序，否则不会被认为是明确的证据。 （或者至less我从来没有见过这种方式。）

使用事件查看器，您可以筛选事件ID 11707的Application log 。 按照您认为该程序已安装的特定date/时间进行search，并且还会列出一个用户名。 如果您需要跟踪谁在安装什么，那么非常有用。

或者，如果您需要查看未安装应用程序的人，则可以筛选Application log中的事件ID 11724 。

通过这个网站find的信息。

检入c：\ users \\ downloads和用户临时目录中的adobe相关文件。