实际上,我刚刚在默认的2008 R2 VM上安装了Adobe Reader,并且确实发现它记录了安装该程序的用户.有点.

EventID 1040,Source: MsiInstaller UserID: [GUID].

将GUID与用户相关联,您就是金色的.

当然,如果您处于没有该日志条目的不幸位置,最好的办法是查看是否可以确定何时安装,并将其与安全事件日志相关联以确定当时有一个交互式登录会话.

Adobe安装程序日志在缩小安装的精确时间方面可能更有帮助,因为您的日志记录级别甚至可能无法在事件日志中记录非MS应用程序安装.无论哪种方式,这可能是找到准确时间,并通过安全日志确定谁在那段时间有open type 2 or type 10 logon.

这真是一种痛苦,如果你是那个将被降级为潜水记录的人,那么快速成本/收益细分可能并不是一个可怕的想法.不完全结论的信息,因为它不完全是一支冒烟的枪.它会给你一个非常强大的案例,说明谁做了它,但除非你有足够高的日志记录级别来查看哪个用户称为安装程序,否则它不会被视为明确的证据. (或者至少我从没见过它.)