有人或最近在关键的服务器上禁用了UAC,并且现在要求重启(这不会发生)。 日志中是否有事件会告诉我哪个帐户被禁用? 我可以重新启用它而无需重新启动来摆脱“重新启动”提示?
谢谢。
特权提升产生一个login事件,因此请关注安全日志中最后一次事件ID 4648(交互式login)和4624(成功login尝试)。
否则,请更改UAC策略并检查事件日志中生成的事件,然后search相似的事件
更新 :如果您有大量的事件日志条目要search,请使用EventCombMT并search上述事件。 这是一个有点老派,但非常有用的收集和sorting在一台或多台Windows机器上的事件日志条目