In großen Unternehmensumgebungen mit mehreren Administratoren ist es oft notwendig zu ermitteln, welcher Benutzer ein Programm auf einem bestimmten Windows-Server oder einer bestimmten Workstation installiert oder deinstalliert hat. 

Wenn Sie klassische Windows-Apps mit dem MSI-Installationsprogramm installieren oder deinstallieren, werden die entsprechenden Ereignisse in das Ereignisanzeigeprotokoll geschrieben.MsiInstaller

• 11707 – Ereigniscode für die erfolgreiche Installation einer MSI-App.
• 11724 – Ereignis zum Entfernen der MSI-App

Powershell Script:
Get-WinEvent -FilterHashtable @{LogName="Application"; ID=11707,11724; ProviderName='MsiInstaller'} | Where-Object { $_.Message -like '*Adobe*' } | Select TimeCreated, @{Name='Username'; Expression={(New-Object System.Security.Principal.SecurityIdentifier($_.userid)).Translate([System.Security.Principal.NTAccount]).Value}}, Message