Кто-то или что-то недавно отключил UAC на критическом сервере, и теперь он запрашивает перезагрузку (чего не может быть). Есть ли в журналах событие, которое сообщит мне, какая учетная запись отключила это? И могу ли я снова включить его без перезагрузки, чтобы избавиться от запроса «перезагрузка»?
Спасибо.
Повышение привилегий вызывает событие входа в систему, поэтому следите за последними появлением событий с кодом 4648 (интерактивный вход) и 4624 (успешная попытка входа в систему) в журнале безопасности.
В противном случае измените политику UAC обратно и проверьте, какие события генерируются в журнале событий, а затем найдите похожие события.
Обновить: Если у вас есть большие объемы записей журнала событий для поиска, попробуйте EventCombMT и ищите вышеупомянутые события. Это немного старая школа, но очень полезна для сбора и сортировки записей журнала событий на одной или нескольких машинах Windows.