Découvrez qui a désactivé un service Windows
Je faisais une recherche de panne et j'ai découvert que deux services qui devraient être définis sur automatic ont été définis sur disabled.
Quelle est la meilleure façon de savoir qui a fait cela? Il peut s'agir de quelqu'un de mon entreprise ou de quelqu'un côté client. Il suffirait de déterminer le compte utilisateur.
J'ai jeté un œil dans l'Observateur d'événements Windows, mais, pour être honnête, je ne suis pas sûr de ce que je recherche, et il y a beaucoup à faire. Rien ne m'a sauté aux yeux, mais je soupçonne que c'est juste que je ne sais pas ce que je cherche.
Lorsque le type de démarrage d'un service est modifié, un événement est enregistré dans le journal des événements système , avec l'ID 7040 et source Service Control Manager .
L'utilisateur qui a effectué l'opération s'affiche dans l'événement (masqué dans la capture d'écran ci-dessous). 
Vous devez donc trouver ces événements dans vos journaux d'événements; j'espère que vous aurez directement le nom d'utilisateur.
S'il s'agit d'un nom d'utilisateur générique, tel que "administrateur", il est temps d'arrêter d'utiliser un compte générique, et vous devrez corréler la date/heure de l'événement avec d'autres informations que vous pourriez obtenir à partir d'un autre journal (comme: Microsoft -Windows-TerminalServices-LocalSessionManager/Operational qui peut vous donner l'IP source d'une session de bureau à distance)
Dans l'Observateur d'événements, recherchez dans le journal des événements "Windows Logs" -> "System" et filtrez pour la source "Service Control Manager" et l'ID d'événement 7040. Recherchez l'événement en disant "The start type of the service = a été changé de type de démarrage d'origine à désactivé "pour le service qui vous intéresse. Lorsque vous trouvez cela," l'utilisateur "répertorié dans les détails ci-dessous est l'utilisateur qui a fait ce changement.