知道谁在Windows计算机上安装或删除了软件有时可能会有所帮助。也许您正在尝试解决问题,执行安全政策或只是好奇。但是,Windows本身没有提供直接选项来检查谁安装或删除了软件。但是,我们在下面进行了一些简短讨论的方法。
如何检查谁在Windows 11/10中安装或删除了软件
有多种方法可以跟踪谁安装以删除软件。但是,您将需要管理许可才能完成此任务。
- powershell命令
- 活动查看器
- 审核记录
1] PowerShell命令
您可以使用PowerShell命令。它使您可以有效地过滤和搜索日志。
- 右键单击Windows图标,然后选择
- 复制并粘贴以下命令,然后按Enter:
Get-WinEvent -FilterHashtable @{LogName='Application'; Id=11707,11724} | ForEach-Object { [PSCustomObject]@{ TimeCreated = $_.TimeCreated; EventID = $_.Id; User = $_.UserId.Translate([System.Security.Principal.NTAccount]).Value; Message = $_.Message } }2]活动查看器
了解软件安装或删除的直接方法之一是通过,因为它为您提供了用户信息的详细日志。
- 按Windows键 + R打开跑步。
- 类型EventVwr.msc然后按Enter。
- 从活动查看器中,转到Windows日志>安全性。
- 在这里,查找这些事件ID,例如11707、11724、1033、1034和1035,它们与安装和拆卸有关。
- 打开其中任何一个,并在事件详细信息中检查帐户名字段,以了解谁的行为。
3]审核记录
如果您想知道谁安装或删除了软件,则可以在本地安全策略设置中启用审核记录。这将确保捕获未来的事件。
- 打开跑步和类型secpol.msc然后按Enter。
- 从本地策略编辑中,转到高级审核策略配置>系统审核策略>对象访问。
- 在这里,双击审核其他对象访问事件s和aUDIT过程跟踪并启用它们。
因此,这些是检查谁安装或删除软件的几种方法。虽然活动查看器似乎是一个快速的选择,但请知道可以清除或覆盖事件日志。因此,请确保您首先进行审核以获得准确的结果。
读:
Admins可以使用多台计算机使用组策略安装/卸载软件安装/卸载?
如果您通过Active Directory管理网络,则可以配置组策略设置以启用审核并从多个系统收集日志。通过启用“审核过程跟踪”和“审核其他对象访问事件”,并使用日志集合(例如Windows Event Expracting或SIEM),您可以在整个环境中监视安装/卸载活动。
我可以在特定的日期和时间找到安装或删除的软件吗?
是的,您可以在事件查看器中查看“事件ID” 11707(安装)和11724(卸载)的应用程序日志,其中包括时间戳。您还可以使用PowerShell按日期过滤这些事件,以查看在特定时间安装或删除的内容。
![DeepSeek 400错误格式无效[fix]](https://sclub.recmg.com/tech/blogs/wp-content/uploads/2025/02/DeepSeek-400-error-Invalid-format.png)
