どの初心者が最も都合の悪いタイミングで重要なサーバーを更新して再起動したのかを突き止めるために、フォレンジック調査を行っています。Windows Update を起動したユーザー アカウントを特定する方法はありますか? 具体的には、Windows Server 2003 の場合です。
答え1
私の意見では、このようなことが再び起こらないように、適切な管理、理解、ポリシーを確実に実施することがより重要です。何が起こったのか、なぜ間違ったタイミングで間違ったことをしたのか、なぜ二度とこのようなことが起こらないのか、などを管理グループ全体に知らせてください。
多くの場合、企業はミスが起きたときに、ミスを修正して予防することよりも、血を流すことに重点を置きます (上司から犯人を見つけるようにプレッシャーをかけられるかもしれません)。責任転嫁が多すぎると有害な職場環境が生まれ、仕事の質が低下し、士気と生産性が低下し、離職率が高くなります。
答え2
Server 2003 マシンの場合、システム イベント ログには、更新プログラムがインストールされた時点でユーザー名に関連付けられた 4377 イベントが多数記録されている可能性があります。7035 イベント (サービスの開始) も記録されている可能性があります。これらは、セキュリティ イベント ログで見つかるものよりも役立つ可能性があります。
初心者の 1 人が更新プログラムをインストールし、もう 1 人が再起動プロンプトで誤って [はい] をクリックした可能性は十分にあります。ただし、重要なサーバーは、運用時間中に更新しないでください。再起動が延期された場合でも、更新プロセス自体がサービスを中断させる可能性があります。たとえば、.NET フレームワークを使用するサービスは、再起動が延期された場合でも、.NET 更新プログラムによって停止される可能性があります。
これは最終的には IT 組織が導入しているポリシーと制御に関するものであるという @joeqwerty の評価に私は完全に同意します。
答え3
実行ボックスから windowsupdate.log を実行し、IT ユーザーの場合は CTRL+F を押すことで見つけることができました。何百人もの IT ユーザーを抱える大企業では必ずしも役に立ちませんが、社内チームの少ない中小企業では、誰が更新を実行したかをすぐに見つけることができました。次の内容が表示されました (ユーザー名を "USERNAMEHERE" で削除しました)。
2016-11-06 09:38:19:591 1020 c40 AU All updates already downloaded, setting percent complete to 100
2016-11-06 09:38:21:599 1020 15a4 AU All updates already downloaded, setting percent complete to 100
2016-11-06 09:38:21:601 1020 18c0 Handler Attempting to create remote handler process as "USERNAME HERE" in session 3
2016-11-06 09:38:21:794 1020 18c0 DnldMgr Preparing update for install, updateId = {12C7A5E2-8CE1-47F6-9203-202C83A4AEFC}.200.
2016-11-06 09:38:21:858 3692 13e0 Misc =========== Logging initialized (build: 7.6.7600.256, tz: -0000) ===========
2016-11-06 09:38:21:858 3692 13e0 Misc = Process: C:\Windows\system32\wuauclt.exe
2016-11-06 09:38:21:858 3692 13e0 Misc = Module: C:\Windows\system32\wuaueng.dll