Windows Server 2019 — аудит того, какой пользователь-человек перезапускает службу

tag-icon tag-icon service windows-server-2019 audit eventviewer
Windows Server 2019 — аудит того, какой пользователь-человек перезапускает службу

Попытка аудита того, какой пользователь AD фактически перезапускает службу на определенной службе.
Служба (MyService) использует учетную запись службы для запуска и получения доступа к различным ресурсам.

Я хочу отслеживать, когда мой пользователь или любой другой реальный пользователь вручную запускает/останавливает/перезапускает службу, и иметь возможность получить эту информацию в «Событии» в EventViewer, чтобы позже настроить оповещение или отфильтрованное представление, чтобы увидеть, кто и когда изменил состояние работы службы.

Я нашел эти инструкции, которые кажутся достаточно подробными:
https://support.qlik.com/articles/000058520

На самом сервере (Windows Server 2019) (т.е. не через GPO):

  1. MMC > Шаблоны безопасности > C:\Users$USER\Documents\Security\Templates
    1.1 "Новый шаблон" > "MyServiceSecurityTemplate"
    1.2 "MyServiceSecurityTemplate" > "Системные службы" > "MyService" > "Свойства"
    1.3
    "Определить этот параметр политики в шаблоне" = Отмечено
    "Выбрать режим запуска службы: Автоматически"
    ^ Т.е. служба всегда должна запускаться вместе с сервером, поэтому мы просто контролируем, как она запускается ИЛИ это связано с тем, какие события запуска службы она регистрирует?
    Т.е. что она регистрирует только тогда, когда служба запускается автоматически, а НЕ тогда, когда она останавливается/запускается/перезапускается вручную?
    1.4 «Изменить безопасность» > «Дополнительно» > «Аудит» > «Добавить» >
    «Основной: «
    «Тип: Успешно»
    «Основные разрешения: Запуск, остановка и пауза»
    «ОК» > «Применить» > «ОК» > «Применить» > «ОК» > «ОК» > Запрос:
    «Политика безопасности. Вы собираетесь изменить настройки безопасности для этой службы... Хотите продолжить?» >
    «Да» > «Применить» > «ОК»

  2. Редактор локальной групповой политики > Конфигурация компьютера > Параметры Windows > Параметры безопасности > Конфигурация расширенной политики аудита > Политики аудита системы — Объект локальной групповой политики > Доступ к объектам:
    «Аудит манипуляций с дескрипторами» и «Аудит событий доступа к другим объектам» > «Свойства»
    «Настройте выбранные события для аудита:
    Аудит всех успешных событий» > «Применить» > «ОК»

  3. EventViewer > Журналы Windows > Безопасность:
    Фильтр для EventID 4656

Для этого фильтра не найдено ни одного события....

Почему это?

Связанный контент