Enregistrez le nom d'user de qui redémarre un service

Je search un moyen simple de connecter le nom d'user de quelqu'un qui redémarre un service sur un server. Cela a été possible en 2003, mais je ne vois aucune possibilité en 2008 et 2012.

2 Solutions collect form web for “Enregistrez le nom d'user de qui redémarre un service”

Tu as raison. Visionneuse d'events> onglet Système, le Gestionnaire de contrôle des services ne connecte plus qui démarre et arrête un service. Vous ne verrez qu'un message comme le service Station de travail entré dans l'état en cours. mais rien sur ce que l'user / process / service ne l'a provoqué pour démarrer.

Pour vérifier qui démarre et arrête les services dans Windows Server 2008 et versions ultérieures, vous devrez effectuer un travail manuel tel que détaillé ici http://windowsitpro.com/systems-management/access-denied-auditing-users-who-might -be-start-and-stop-services . C'est la méthode que j'ai utilisée pour vérifier qui démarre et arrête les services sur les servers critiques. Vous findez ci-dessous les étapes à suivre pour auditer votre service souhaité sur un server Windows. Veuillez vous référer au lien pour plus d'informations.

Pour accéder aux templates de security, connectez-vous au server et ouvrez le composant logiciel enfichable Modèles de security Microsoft Management Console (MMC). Pour créer un nouveau model, cliquez avec le button droit sur le path des templates de security. Sélectionnez Nouveau model, click Services système, puis double-click le service approprié (c'est-à-dire Telnet). Activez la checkbox Définir ce paramètre de stratégie dans le model, puis click Modifier la security pour ouvrir la boîte de dialog Sécurité pour Telnet que montre la figure 1. Cette boîte de dialog contient l'ACL du service, que vous pouvez utiliser pour affiner qui a démarré et arrêté l'autorité. (Pour plus d'informations sur l'autorisation de démarrer et d'arrêter les services, reportez-vous à la section «Dépannage des problèmes liés à l'autorisation de démarrage, arrêt et pause», mars 2002, ID InstantDoc 23964.)

Cliquez sur Avancé, puis select l'onglet Audit dans la boîte de dialog Paramètres de contrôle d'access pour Telnet, ce qui montre la figure 2. Comme vous pouvez le voir, aucune vérification n'est actuellement activée sur le service Telnet car l'audit n'est pas activé par défaut. Cliquez sur Ajouter, puis ajoutez une input pour suivre les events de démarrage et d'arrêt réussis que les membres de Tout le monde triggersnt, comme le montre la figure 3. Fermez toutes les boîtes de dialog, puis enregistrez le model. Importez le model dans le composant logiciel enfichable Configuration et parsing de security MMC, puis appliquez le model. Maintenant, vous pouvez vérifier le journal de security pour l'ID d'événement 560 (audit de réussite: object ouvert), où Object Type est SERVICE OBJECT, le nom de l'object est le nom abrégé du service que vous surveillez (dans le cas du Telnet Service, TlntSvr), et les access enregistrés incluent Démarrer le service et Arrêter le service. Dans l'exemple que montre la figure 4, vous pouvez voir que Joe a arrêté le service Telnet.

Si vous avez un domaine Active Directory, vous pouvez le faire avec une stratégie de groupe de domaine:

  1. Créez un object de stratégie de groupe et appliquez-le au server concerné.
  2. Modifiez-le, allez dans Computer Policies > Windows Settings > Security Settings > System Services > whatever service (vous devez spécifier le service et ne peut pas facilement l'appliquer à tous les services)
  3. Définissez ce paramètre de stratégie et choisissez le mode de démarrage approprié (quel qu'il soit par défaut). Cliquez sur Modifier l' onglet Sécurité , Avancé , Audit
  4. Ajoutez des inputs d'audit pour couvrir les users et les actions que vous souhaitez save.
  5. Je ne suis pas sûr si vous devez en outre activer quoi que ce soit dans Computer Policies > Windows Settings > Security Settings > Local Policies > Audit Policy – Je n'ai trouvé aucune documentation appropriée d'une manière ou d'une autre, mais je sais que si vous définissez une vérification sur les files, Par exemple, vous devez activer l'audit d'access aux objects, sinon cela ne fonctionne pas.

Les actions sur les services doivent ensuite être enregistrées dans le journal des events de security sur le server.

  • Service d'état ASP.Net absent des services
  • Comment puis-je créer un planificateur de tâches pour redémarrer un service logiciel dans Windows Server 2008 R2
  • Les counts de service de domaine Windows sont-ils vraiment nécessaires?
  • Microsoft Central Dynamics GP Session Central Service ne démarre pas
  • Comment puis-je get le path d'access à un exécutable de service Windows SANS utiliser sc qc?
  • Vboxheadless sans invite de command (VirtualBox)
  • Utilisation de la command "sc" pour contrôler les services avec des espaces dans leur nom
  • Qu'est-ce qui a changé avec Win 2008 Server que Samba rpc control ne fonctionne plus?
  • Comment puis-je arrêter le service sur le server distant, qui n'est pas connecté à un domaine, en utilisant un user non administrateur via PowerShell
  • Le path du réseau est bloqué par le service Windows
  • Comment puis-je sauvegarder ma recommandation pour NE PAS désactiver le service Pare-feu Windows?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.