我正在寻找一种简单的方法来logging重新启动服务器上的服务的用户名。 这在2003年是可能的,但是我不认为在2008年和2012年是可能的。
你是对的 事件查看器>系统选项卡,服务控制pipe理器不再logging启动和停止服务的人员。 您只会看到类似“工作站”服务进入运行状态的消息。 但没有什么关于什么用户/进程/服务使它启动。
要在Windows Server 2008及更高版本中审核谁正在启动和停止服务,您需要按照http://windowsitpro.com/systems-management/access-denied-auditing-users-who-might – 开始 – 停止 – 服务 。 这是我用来审计谁在关键服务器上启动和停止服务的方法。 以下是在Windows服务器上审核所需服务的步骤。 请参阅链接了解更多信息。
要访问安全模板,请login到服务器并打开Microsoftpipe理控制台(MMC)安全模板pipe理单元。 要创build一个新模板,请右键单击安全模板path。 select新build模板,单击系统服务,然后双击相应的服务(即Telnet)。 选中“在模板中定义此策略设置”checkbox,然后单击“编辑安全性”以打开图1所示的“Telnet安全性”对话框。 该对话框包含服务的ACL,您可以使用该ACL来微调谁拥有启动和停止权限。 (有关启动和停止服务权限的更多信息,请参阅“启动,停止和暂停权限问题疑难解答”,2002年3月,InstantDoc ID 23964.)
单击“高级”,然后select“Telnet访问控制设置”对话框中的“审核”选项卡,如图2所示。 如您所见,Telnet服务当前没有启用审计,因为缺省情况下审计没有启用。 点击Add,然后添加一个条目来跟踪成员启动和停止每个成员启动的事件,如图3所示。 closures所有的对话框,然后保存模板。 将模板导入MMC安全configuration和分析pipe理单元,然后应用模板。 现在,您可以检查事件ID 560(成功审计:对象打开)的安全日志,其中对象types是SERVICE OBJECT,对象名称是您正在监视的服务的短名称(对于Telnet服务, TlntSvr),logging的访问包括启动服务和停止服务。 在图4所示的示例中,您可以看到Joe停止了Telnet服务。
如果您拥有Active Directory域,则可以使用域组策略执行此操作:
Computer Policies > Windows Settings > Security Settings > System Services > whatever service (您需要指定的服务,并不能很容易地将其应用于所有服务) Computer Policies > Windows Settings > Security Settings > Local Policies > Audit Policy下启用任何内容。我还没有find任何适当的文档,但知道如果您要对文件进行审核,例如,您需要启用对象访问审计,否则它不起作用。 然后,服务上的操作应logging在服务器上的安全事件日志中。