Попытка проверить, какой пользователь AD фактически перезапускает службу для конкретной службы.
Служба (MyService) использует учетную запись службы для запуска и получения доступа к различным ресурсам.

Я хочу проводить аудит, когда мой пользователь или любой реальный пользователь-человек вручную запускает / останавливает / перезапускает службу, и иметь возможность получать эту информацию в «Событии» в EventViewer, чтобы позже настроить предупреждение или отфильтрованное представление, чтобы увидеть, кто и когда изменил состояние работы службы.

Я нашел эти подробные инструкции:
https://support.qlik.com/articles/000058520

На самом сервере (Windows Server 2019) (т.е. не через GPO):

  1. MMC> Шаблоны безопасности> C: \ Users $ USER \ Documents \ Security \ Templates
    1.1 "Новый шаблон"> "MyServiceSecurityTemplate"
    1.2 "MyServiceSecurityTemplate"> "Системные службы"> "MyService"> "Свойства"
    1.3
    "Определите этот параметр политики в шаблон "= Проверено
    " Выбрать режим запуска службы: автоматический "
    ^ Т.е. служба всегда должна запускаться с сервера, поэтому мы просто контролируем, как запускается служба, ИЛИ это связано с тем, какие события запуска службы она регистрирует?
    То есть, что он регистрирует только когда служба запускается автоматически, а НЕ когда она останавливается / запускается / перезапускается вручную?
    1.4 «Изменить безопасность»> «Дополнительно»> «Аудит»>«Добавить»>
    «Принципал:»
    «Тип: Успех»
    «Основные разрешения: запуск, остановка и пауза»
    «ОК»> «Применить»> «ОК»> «Применить»> «ОК»> «ОК»> Запрос:
    «Политика безопасности. Вы собираетесь изменить настройки безопасности для этого сервис ... Продолжить? " >
    «Да»> «Применить»> «ОК»

  2. Редактор локальной групповой политики> Конфигурация компьютера> Параметры Windows> Параметры безопасности> Конфигурация расширенной политики аудита> Политики аудита системы - Объект локальной групповой политики>
    Доступ к объектам: «Управление обработкой данных аудита» и «Аудит событий доступа к другим объектам»> «Свойства»
    «Настроить» выбранные события для аудита: «
    Аудит всех успехов»> «Применить»> «ОК»

  3. EventViewer> Журналы Windows> Безопасность:
    фильтр для EventID 4656

Для этого фильтра событий не найдено ....

Это почему?

no answer