Идентификатор на събитие 4726: Потребителски акаунт беше изтрит [Коригиране]

Активирайте одита с помощта на ADSI Edit, когато получите този идентификатор на събитие

Някои от нашите читатели се оплакват, че виждат събитието за сигурност на Windows 4726 в домейн контролера. Регистърът на събитията показва, че потребителският акаунт е изтрит и други подробности за записаното събитие. Това ръководство обаче ще ви преведе как да коригирате идентификатора на събитието.

Освен това можете да прочетете за събитие ID 7023 грешка и някои корекции за разрешаването му в Windows 11.

Какво е събитие 4726?

Събитие ID 4726 е събитие за сигурност на Windows, което показва изтриването на потребителски акаунт. Когато това събитие се регистрира, потребителски акаунт е премахнат или изтрит от Windows Active Directory.

Това събитие обикновено се записва в регистрационния файл на събитията за защита на домейн контролер на Windows.

Чрез наблюдение на Event ID 4726 системните администратори могат да следят изтриванията на потребителски акаунти в своите среда на домейн на Windows и идентифициране на всички неразрешени или подозрителни дейности, свързани с потребителя сметки.

Какво причинява ID на събитието 4726?

Различни фактори могат да причинят събитие ID 4726. Ето някои често срещани сценарии, които могат да предизвикат това събитие:

• Административно действие – Администратор или потребител с достатъчно привилегии умишлено е изтрил потребителския акаунт с помощта на инструменти на Active Directory или команди на PowerShell.
• Изтичане на акаунта – Ако даден потребителски акаунт трябва да изтече на определена дата или след определен период, той може да бъде автоматично изтрит от системата, когато съществува условието за изтичане.
• Почистване на акаунта – Потребителските акаунти понякога могат да бъдат изтрити като част от рутинна поддръжка или процеси на почистване. Може да бъде за премахване на неактивни или неизползвани акаунти от средата на Active Directory.
• Прекратяване или напускане – Когато служител напусне организация, неговият потребителски акаунт може да бъде изтрит, за да се отмени достъпът до мрежовите ресурси и да се поддържа сигурността.
• Злонамерена дейност – В злощастни случаи на неоторизиран достъп или опити за хакване, нападателят с достатъчно привилегиите могат да изтрият потребителски акаунти, за да нарушат операциите, да прикрият следите си или да навредят на организация.

Тези фактори могат да варират на различните компютри. Независимо от това, ще обсъдим някои основни корекции за разрешаване на проблема.

Какво мога да направя, ако видя събитие ID 4726?

1. Активирайте одита с помощта на ADSI Edit

1. Натиснете Windows + Р ключове за отваряне на Бягай диалогов прозорец, тип ADSIEdit.msc, и натиснете Въведете за да отворите конзолата на Active Directory Service Interface (ADSI)..
2. Щракнете с десния бутон върху Редактиране на ADSI опция в горния ляв ъгъл, след което изберете Свържете се с от падащото меню.
3. В прозореца за настройки на връзката щракнете върху Изберете добре познат контекст на именуване опция и изберете Контекст на именуване по подразбиране в падащото меню, след което щракнете Добре.
4. Разширете Контекст на именуване по подразбиране опция, щракнете с десния бутон върху DC=www, DC=домейн, DC=comи изберете Имоти от контекстното меню.
5. Отидете на Сигурност раздел и щракнете върху Разширено за да отворите Разширени настройки за сигурност.
6. Изберете Одитиране раздел и щракнете върху Добавете за да добавите запис за проверка за потребителите, чиито действия искате да наблюдавате.
7. След това щракнете върху Изберете директор опция.
   
8. Отидете на Въведете име на обект вход и тип Всеки, щракнете върху Проверете имената бутон, за да потвърдите името, след което щракнете Добре.
9. На Вписване за одит прозорец, щракнете върху Тип опция и изберете всичко от падащото меню.
10. Кликнете Прилага се към и изберете Този обект и всички обекти-потомци от падащото меню.
11. Поставете отметки в квадратчетата за следните елементи: Пълен контрол,Съдържание на списък, Прочетете всички свойства, и Разрешения за четене, след което щракнете върху Добре бутон.
12. На Разширени настройки за сигурност, щракнете върху Приложи и Добре бутони.
13. Затворете прозореца за редактиране на ADSI.

Когато получите идентификатор на събитие 4726, трябва да проследите изтритите потребителски и компютърни акаунти. Това трябва да стане чрез активиране на одита в Active Directory Service Interface (ADSI).

2. Използвайте Event Viewer, за да проверите изтритите потребителски акаунти и компютри в AD

1. Ляв клик Започнете в менюто на Windows въведете Преглед на събитияи натиснете Въведете.
2. Сега отидете на Регистри на Windows и изберете Сигурност.
3. Търсене на събитие ID 4726 (Идентификатор на събитието за изтрит потребител/акаунт) и събитие ID 4743 (Идент. № на събитието за изтрит компютърен акаунт), за да идентифицира изтриванията на потребителски и компютърни акаунти.
4. След това превъртете надолу, за да намерите акаунти, компютърни обекти и компютърни акаунти изтрити.

След като сте активирали проверката, Event Viewer ще регистрира изтритите компютърни и потребителски обекти.

Прочетете повече по тази тема

• USB устройството показва грешен размер? Поправете го в 2 стъпки
• Поправка: Не можете да направите тази промяна, защото изборът е заключен
• Поправка: целостта на паметта не може да бъде включена поради Ftdibus.sys

3. Използвайте PowerShell, за да откриете кой е изтрил акаунта

1. Щракнете с левия бутон върху Windows икона, вид PowerShellи щракнете Изпълни като администратор.
2. След това въведете следното и натиснете Въведете: Get-EventLog -LogName Сигурност | Where-Object {$_.EventID -eq 4726} | Изберете-Обект -Свойство *
3. Намерете изтрития потребителски акаунт под Съобщение > Тема. Могат да се видят името на акаунта и идентификаторът за защита на потребителя, извършил изтриването на целевия потребител.

В заключение имаме изчерпателно ръководство за това как да изчистете регистъра на събитията на компютри с Windows. Освен това прочетете за какво събитие ID 4769 е и как да го поправя.

Ако имате допълнителни въпроси или предложения, любезно ги пуснете в секцията за коментари.