قم بتمكين التدوين باستخدام ADSI Edit عندما تحصل على معرّف هذا الحدث
- يشير معرف الحدث 4726 إلى حذف حساب مستخدم من الكمبيوتر.
- لا ينبغي أن تشعر بالقلق إذا ظهر معرّف هذا الحدث ما لم يتم إجراء التغييرات من قبل طرف ثالث.
Xالتثبيت عن طريق النقر فوق ملف التنزيل
- تنزيل DriverFix (ملف تنزيل تم التحقق منه).
- انقر ابدأ المسح للعثور على جميع السائقين الإشكاليين.
- انقر تحديث برامج التشغيل للحصول على إصدارات جديدة وتجنب أعطال النظام.
- تم تنزيل DriverFix بواسطة 0 القراء هذا الشهر.
يشتكي بعض قرائنا من رؤية حدث أمان Windows رقم 4726 في وحدة تحكم المجال. يشير سجل الأحداث إلى أنه تم حذف حساب مستخدم وتفاصيل أخرى عن الحدث المسجل. ومع ذلك ، سيأخذك هذا الدليل إلى كيفية إصلاح معرف الحدث.
أيضا ، يمكنك أن تقرأ عن معرف الحدث 7023 خطأ وبعض الإصلاحات لحلها على Windows 11.
ما هو الحدث 4726؟
معرف الحدث 4726 هو حدث أمان Windows يشير إلى حذف حساب مستخدم. عند تسجيل هذا الحدث ، تمت إزالة حساب مستخدم أو حذفه من Windows Active Directory.
يتم عادةً تسجيل هذا الحدث في سجل أحداث الأمان على وحدة تحكم مجال Windows.
من خلال مراقبة معرف الحدث 4726 ، يمكن لمسؤولي النظام تتبع عمليات حذف حساب المستخدم في ملفات بيئة مجال Windows وتحديد أي أنشطة غير مصرح بها أو مشبوهة تتعلق بالمستخدم حسابات.
ما الذي يسبب معرف الحدث 4726؟
يمكن أن تسبب عوامل مختلفة معرف الحدث 4726. فيما يلي بعض السيناريوهات الشائعة التي قد تؤدي إلى حدوث هذا الحدث:
- إجراء إداري - قام مسؤول أو مستخدم لديه امتيازات كافية بحذف حساب المستخدم عمدًا باستخدام أدوات Active Directory أو أوامر PowerShell.
- انتهاء صلاحية الحساب - في حالة انتهاء صلاحية حساب المستخدم في تاريخ محدد أو بعد فترة معينة ، يمكن للنظام حذفه تلقائيًا عند وجود شرط انتهاء الصلاحية.
- تنظيف الحساب - قد يتم حذف حسابات المستخدمين أحيانًا كجزء من عمليات الصيانة أو التنظيف الروتينية. يمكن أن يكون لإزالة الحسابات غير النشطة أو غير المستخدمة من بيئة Active Directory.
- الإنهاء أو المغادرة - عندما يغادر موظف مؤسسة ، قد يتم حذف حساب المستخدم الخاص به لإلغاء الوصول إلى موارد الشبكة والحفاظ على الأمان.
- نشاط ضار - في الحالات المؤسفة للوصول غير المصرح به أو محاولات القرصنة ، يكون لدى المهاجم ما يكفي من ملفات قد تحذف الامتيازات حسابات المستخدمين لتعطيل العمليات أو تغطية مساراتهم أو إلحاق الضرر بـ منظمة.
يمكن أن تختلف هذه العوامل على أجهزة كمبيوتر مختلفة. بغض النظر ، سنناقش بعض الإصلاحات الأساسية لحل المشكلة.
ماذا أفعل إذا رأيت معرف الحدث 4726؟
1. تمكين التدوين باستخدام ADSI Edit
- يضعط شبابيك + ص مفاتيح لفتح يجري مربع الحوار ، اكتب ADSIEdit.msc ، و اضغط يدخل لفتح وحدة تحكم واجهة خدمة الدليل النشط (ADSI).
- انقر بزر الماوس الأيمن فوق ملف تحرير ADSI الخيار أعلى الجانب الأيسر ، ثم حدد اتصل بـ من القائمة المنسدلة.
- في نافذة إعدادات الاتصال ، انقر فوق حدد سياق تسمية مشهور الخيار وحدد سياق التسمية الافتراضي في القائمة المنسدلة ، ثم انقر فوق نعم.
- التوسع في سياق التسمية الافتراضي الخيار ، انقر بزر الماوس الأيمن فوق DC = www ، DC = المجال ، DC = com، واختر ملكيات من قائمة السياق.
- اذهب إلى حماية علامة التبويب وانقر فوق متقدم لفتح ملف إعدادات الأمان المتقدمة.
- حدد ملف تدقيق علامة التبويب وانقر فوق يضيف لإضافة إدخال التدوين للمستخدمين الذين تريد مراقبة إجراءاتهم.
- ثم ، انقر فوق حدد مدير خيار.
- اذهب إلى أدخل اسم الكائن الدخول والنوع الجميع، انقر على تحقق من الأسماء زر للتحقق من الاسم ، ثم انقر فوق نعم.
- على ال إدخال التدقيق نافذة ، انقر فوق يكتب الخيار وحدد الجميع من القائمة المنسدلة.
- انقر ينطبق إلى والاختيار هذا الكائن وجميع الكائنات التابعة من القائمة المنسدلة.
- حدد المربعات للعناصر التالية: تحكم كامل ،محتوى القائمة, اقرأ جميع الخصائص، و قراءة الأذونات، ثم انقر فوق نعم زر.
- على ال إعدادات الأمان المتقدمة ، انقر على يتقدم و نعم أزرار.
- أغلق نافذة ADSI Edit.
عندما تحصل على معرف الحدث 4726 ، يجب عليك تتبع حسابات المستخدم والكمبيوتر المحذوفة. يجب أن يتم ذلك عن طريق تمكين التدقيق في واجهة خدمة الدليل النشط (ADSI).
2. استخدم عارض الأحداث للتحقق من حسابات المستخدمين وأجهزة الكمبيوتر المحذوفة في AD
- الزر الأيسر يبدأ في قائمة Windows ، اكتب عارض الأحداث، و اضغط يدخل.
- الآن ، اذهب إلى سجلات Windows واختر حماية.
- ابحث عن ملف معرف الحدث 4726 (تم حذف معرف الحدث AD المستخدم / الحساب) و معرف الحدث 4743 (تم حذف معرف الحدث من حساب الكمبيوتر) لتحديد عمليات حذف حساب المستخدم والكمبيوتر.
- ثم ، قم بالتمرير لأسفل لتحديد موقع ملف الحسابات وعناصر الكمبيوتر وحسابات الكمبيوتر تم الحذف.
بمجرد تمكين التدقيق ، سيقوم عارض الأحداث بتسجيل كائنات المستخدم والكمبيوتر المحذوفة.
- محرك أقراص USB يعرض حجمًا خاطئًا؟ قم بإصلاحه في خطوتين
- إصلاح: لا يمكنك إجراء هذا التغيير لأن التحديد مغلق
- إصلاح: لا يمكن تشغيل سلامة الذاكرة بسبب Ftdibus.sys
3. استخدم PowerShell لاكتشاف من قام بحذف الحساب
- انقر بزر الماوس الأيسر فوق ملف شبابيك رمز ، اكتب بوويرشيل، وانقر تشغيل كمسؤول.
- ثم أدخل ما يلي واضغط يدخل:
Get-EventLog -LogName Security | أين الكائن {$ _. EventID -eq 4726} | تحديد كائن - خاصية *
- حدد موقع حساب المستخدم المحذوف تحت الرسالة> الموضوع. يمكن رؤية اسم الحساب ومعرف الأمان للمستخدم الذي قام بالحذف على المستخدم المستهدف.
في الختام ، لدينا دليل شامل حول كيفية القيام بذلك امسح سجل الأحداث على أجهزة كمبيوتر Windows. أيضا ، اقرأ عن ماذا معرف الحدث 4769 هو وكيفية إصلاحه.
إذا كانت لديك أسئلة أو اقتراحات أخرى ، فيرجى تركها في قسم التعليقات.
هل ما زلت تواجه مشكلات؟ قم بإصلاحها باستخدام هذه الأداة:
برعاية
يمكن حل بعض المشكلات المتعلقة ببرنامج التشغيل بشكل أسرع باستخدام أداة مخصصة. إذا كنت لا تزال تواجه مشكلات مع برامج التشغيل الخاصة بك ، فما عليك سوى تنزيلها دريفكس والحصول عليه وتشغيله ببضع نقرات. بعد ذلك ، دعها تتولى وتصلح جميع أخطائك في لمح البصر!
