我正在尝试调试本地Web服务器上的某些设置,并注意到最近几天某些注册表已更改。我试图找出哪个用户修改了注册表。有没有办法看谁修改了注册表?
注意:这是在Windows Server 2003平台上,每个具有远程桌面访问权限的用户都将拥有自己唯一的用户名。
答案 0 :(得分:2)
此信息通常不由Windows存储,因此除非您审核注册表更改,否则无法进行。您可以打开审核(内置到窗口中)以捕获注册表更改(以及其他注册表活动)。审核结果存储在Windows事件日志中。
请参阅MS article on auditing registry changes.
由于注册表获得了大量活动,审计会使事情变慢。尽可能少地审计以实现目标。