Узнайте, кто отключил службу Windows
Я занимался поиском неисправностей и обнаружил две службы, которые должны быть настроены на automatic были установлены на disabled.
Как лучше всего узнать, кто это сделал? Это может быть кто-то из моей компании или кто-то со стороны клиента. Достаточно определить учетную запись пользователя.
Я заглянул в средство просмотра событий Windows, но, честно говоря, я не уверен, что ищу, и есть над чем поработать. На меня ничего не выскочило, но подозреваю, что просто не знаю, что ищу.
При изменении типа запуска службы событие записывается в журнал системных событий , с идентификатором 7040 и источник Менеджер по управлению услугами.
Пользователь, выполнивший операцию, отображается в событии (скрыто на снимке экрана ниже). 
Поэтому вам нужно найти эти события в журналах событий; надеюсь, у вас будет имя пользователя напрямую.
Если это общее имя пользователя, такое как «администратор», то пора прекратить использование общей учетной записи, и вам придется соотнести дату / время события с другой информацией, которую вы можете получить из другого журнала (например: Microsoft -Windows-TerminalServices-LocalSessionManager / Operational, который может предоставить вам исходный IP-адрес сеанса удаленного рабочего стола)
В средстве просмотра событий просмотрите журнал событий «Журналы Windows» -> «Система» и отфильтруйте источник «Диспетчер управления службами» и идентификатор события 7040. Найдите событие, в котором говорится: «Тип запуска служба был изменен с исходный тип запуска для инвалидов "для служба вы заинтересованы. Когда вы обнаружите это, «Пользователь», указанный ниже, будет пользователем, который внес это изменение.