NotMe Asked: 2012-08-21 11:53:33 +0800 CST2012-08-21 11:53:33 +0800 CST 2012-08-21 11:53:33 +0800 CST 如何确定谁安装了程序? 772 我需要找出谁在服务器上安装了特定程序 (Adobe Flash)。 我怎样才能做到这一点? windows-server-2008-r2 3 个回答 Voted Best Answer HopelessN00b 2012-08-21T12:20:18+08:002012-08-21T12:20:18+08:00 根据您的日志记录级别,您可以查看事件日志并查看谁调用了安装程序。 事实上,我只是在默认的 2008 R2 VM 上安装了 Adobe Reader,并且确实发现它记录了安装该程序的用户。有点。 事件 ID 1040,来源:MsiInstaller 用户 ID:[GUID]。 将该 GUID 与用户相关联,您就成功了。 当然,如果您不幸没有该日志条目,最好的办法是仔细检查并查看是否可以确定它的确切安装时间,并将其与安全事件日志相关联以确定当时有一个交互式登录会话。 Adobe 安装程序日志也可能更有助于缩小安装的精确时间,因为您的日志级别可能甚至没有在事件日志中记录非 MS 应用程序安装。无论哪种方式,都可能需要找到准确的时间,并通过安全日志来确定谁在该时间进行了开放式 2 类或 10 类登录。 这真的是一种痛苦,如果你是那个将要被降级为原木潜水的人,那么快速进行成本/收益分解来找出这个 [不完全确定的]信息,因为它不完全是确凿的证据。它会给你一个非常有力的例子来证明是谁干的,但除非你有足够高的日志记录级别来查看哪个用户调用了安装程序,否则它不会被视为决定性的证据。(或者至少我从来没有看到它是那样做的。) Sawta 2015-04-24T07:24:59+08:002015-04-24T07:24:59+08:00 使用事件查看器,您可以过滤Application log事件 ID 11707。按您认为该程序安装的特定日期/时间搜索,它还会列出一个用户名。如果您需要跟踪谁在何时安装了什么,这非常有用。 或者,如果您需要查看谁卸载了应用程序,您可以过滤Application log事件 ID 。11724 通过本网站找到的信息。 Grant 2012-08-21T11:55:52+08:002012-08-21T11:55:52+08:00 检查 c:\users\\downloads 和 adobe 相关文件的用户临时目录。
根据您的日志记录级别,您可以查看事件日志并查看谁调用了安装程序。
事实上,我只是在默认的 2008 R2 VM 上安装了 Adobe Reader,并且确实发现它记录了安装该程序的用户。有点。
将该 GUID 与用户相关联,您就成功了。
当然,如果您不幸没有该日志条目,最好的办法是仔细检查并查看是否可以确定它的确切安装时间,并将其与安全事件日志相关联以确定当时有一个交互式登录会话。
Adobe 安装程序日志也可能更有助于缩小安装的精确时间,因为您的日志级别可能甚至没有在事件日志中记录非 MS 应用程序安装。无论哪种方式,都可能需要找到准确的时间,并通过安全日志来确定谁在该时间进行了开放式 2 类或 10 类登录。
这真的是一种痛苦,如果你是那个将要被降级为原木潜水的人,那么快速进行成本/收益分解来找出这个 [不完全确定的]信息,因为它不完全是确凿的证据。它会给你一个非常有力的例子来证明是谁干的,但除非你有足够高的日志记录级别来查看哪个用户调用了安装程序,否则它不会被视为决定性的证据。(或者至少我从来没有看到它是那样做的。)
使用事件查看器,您可以过滤
Application log事件 ID11707。按您认为该程序安装的特定日期/时间搜索,它还会列出一个用户名。如果您需要跟踪谁在何时安装了什么,这非常有用。或者,如果您需要查看谁卸载了应用程序,您可以过滤
Application log事件 ID 。11724通过本网站找到的信息。
检查 c:\users\\downloads 和 adobe 相关文件的用户临时目录。