Узнайте, какая учетная запись отключена UAC

Question

Узнайте, какая учетная запись отключена UAC

Кто-то или что-то недавно отключил UAC на критически важном сервере, и теперь он запрашивает перезагрузку (что не может произойти). Есть ли в журналах событие, которое сообщит мне, какая учетная запись отключила это? И можно ли снова включить его без перезагрузки, чтобы избавиться от приглашения "перезагрузка"?

Благодарю.

2

windows-server-2008-r2 uac

Источник

eth0 27 ноя '12 в 00:23

1 ответ

Другие вопросы по тегам windows-server-2008-r2 uac

Mathias R. Jessen 27 ноя '12 в 00:29 2012-11-27 00:29 · Answer 1 · 2012-11-27 00:29

Повышение привилегий приводит к событию входа в систему, поэтому обратите внимание на последние события с идентификаторами 4648 (интерактивный вход) и 4624 (успешная попытка входа) в журнале безопасности.

В противном случае верните обратно политику UAC и проверьте, какие события генерируются в журнале событий, а затем выполните поиск похожих событий.

Обновление: если у вас есть большие объемы записей журнала событий для поиска, попробуйте EventCombMT и найдите вышеупомянутые события. Это немного старая школа, но она очень полезна для сбора и сортировки записей журнала событий на одной или нескольких машинах Windows.