ID události 4726: Uživatelský účet byl odstraněn [Oprava]

Když získáte toto ID události, povolte auditování pomocí ADSI Edit

Někteří z našich čtenářů si stěžují, že v řadiči domény vidí událost zabezpečení Windows 4726. Protokol událostí uvádí, že byl smazán uživatelský účet a další podrobnosti o zaznamenané události. Tento průvodce vás však provede tím, jak opravit ID události.

Také si můžete přečíst o chyba události ID 7023 a některé opravy, které to vyřeší ve Windows 11.

Co je to událost 4726?

ID události 4726 je událost zabezpečení systému Windows, která označuje odstranění uživatelského účtu. Když je tato událost zaprotokolována, uživatelský účet byl odebrán nebo odstraněn z Windows Active Directory.

Tato událost je obvykle zaznamenána v protokolu událostí zabezpečení na řadiči domény Windows.

Sledováním ID události 4726 mohou správci systému sledovat odstranění uživatelských účtů prostředí domény Windows a identifikovat jakékoli neoprávněné nebo podezřelé aktivity související s uživatelem účty.

Co způsobuje událost ID 4726?

Událost ID 4726 mohou způsobit různé faktory. Zde jsou některé běžné scénáře, které mohou tuto událost spustit:

• Administrativní úkon – Správce nebo uživatel s dostatečnými oprávněními záměrně odstranil uživatelský účet pomocí nástrojů služby Active Directory nebo příkazů prostředí PowerShell.
• Vypršení platnosti účtu – Pokud má uživatelský účet vypršet k určitému datu nebo po určité době, může být systémem automaticky smazán, pokud existuje podmínka vypršení platnosti.
• Vyčištění účtu – Uživatelské účty mohou být někdy odstraněny jako součást běžné údržby nebo procesů čištění. Může to být pro odstranění neaktivních nebo nepoužívaných účtů z prostředí Active Directory.
• Ukončení nebo odchod – Když zaměstnanec opustí organizaci, jeho uživatelský účet může být smazán, aby byl odebrán přístup k síťovým zdrojům a zachována bezpečnost.
• Škodlivá činnost – V nešťastných případech neoprávněného přístupu nebo pokusů o hackování útočníkovi stačí oprávnění mohou smazat uživatelské účty, aby narušily operace, zakryly jejich stopy nebo způsobily poškození organizace.

Tyto faktory se mohou na různých počítačích lišit. Bez ohledu na to probereme některé základní opravy k vyřešení problému.

Co mohu dělat, když vidím událost ID 4726?

1. Povolte auditování pomocí ADSI Edit

1. lis Okna + R klíče pro otevření Běh dialogové okno, zadejte ADSIEdit.msc, a stiskněte Vstupte otevřete konzolu ADSI (Active Directory Service Interface)..
2. Klepněte pravým tlačítkem myši na ADSI Edit možnost v levé horní části a poté vyberte Připojit k z rozbalovací nabídky.
3. V okně Nastavení připojení klikněte na Vyberte dobře známý kontext pojmenování možnost a vyberte Výchozí kontext pojmenování v rozevírací nabídce a poté klepněte na OK.
4. Rozbalte Výchozí kontext pojmenování možnost, klikněte pravým tlačítkem na DC=www, DC=doména, DC=coma vyberte Vlastnosti z kontextové nabídky.
5. Přejít na Bezpečnostní tab a klikněte Pokročilý otevřít Pokročilá nastavení zabezpečení.
6. Vybrat Auditování tab a klikněte Přidat pro přidání položky auditu pro uživatele, jejichž akce chcete monitorovat.
7. Poté klikněte na Vyberte ředitele volba.
   
8. Přejít na Zadejte název objektu vstup a typ Každý, klikněte na Zkontrolujte jména potvrďte název a poté klikněte OK.
9. Na Záznam auditu v okně klepněte na Typ možnost a vyberte Všechno z rozbalovací nabídky.
10. Klikněte Platí do a vyberte Tento objekt a všechny podřízené objekty z rozbalovací nabídky.
11. Zaškrtněte políčka u následujících položek: Plná kontrola,Seznam obsahu, Přečtěte si všechny vlastnosti, a Oprávnění ke čtenía poté klepněte na OK knoflík.
12. Na Pokročilá nastavení zabezpečení, klikněte na Aplikovat a OK tlačítka.
13. Zavřete okno ADSI Edit.

Když získáte ID události 4726, musíte sledovat odstraněné účty uživatelů a počítačů. Je třeba to provést povolením auditování v rozhraní ADSI (Active Directory Service Interface).

2. Použijte Prohlížeč událostí ke kontrole smazaných uživatelských účtů a počítačů v AD

1. Levé kliknutí Start v nabídce Windows zadejte Prohlížeč událostía stiskněte Vstupte.
2. Nyní jděte na Protokoly systému Windows a vyberte Bezpečnostní.
3. Hledejte ID události 4726 (ID události smazaného uživatele/účtu AD) a ID události 4743 (ID události odstraněného účtu počítače) k identifikaci odstranění účtu uživatele a počítače.
4. Poté přejděte dolů a vyhledejte účty, počítačové objekty a počítačové účty smazáno.

Jakmile povolíte auditování, Prohlížeč událostí zaznamená smazané objekty počítače a uživatele.

Přečtěte si více o tomto tématu

• Jednotka USB zobrazuje nesprávnou velikost? Opravte to ve 2 krocích
• Oprava: Tuto změnu nemůžete provést, protože výběr je uzamčen
• Oprava: Integritu paměti nelze zapnout kvůli Ftdibus.sys

3. Pomocí PowerShellu zjistěte, kdo účet smazal

1. Klikněte levým tlačítkem na Okna ikona, typ PowerShella klikněte Spustit jako administrátor.
2. Poté zadejte následující a stiskněte Vstupte: Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4726} | Vybrat-objekt-vlastnost *
3. Vyhledejte odstraněný uživatelský účet pod Zpráva > Předmět. Lze zobrazit název účtu a bezpečnostní ID uživatele, který provedl odstranění na cílovém uživateli.

Na závěr tu máme obsáhlý návod, jak na to vymazat protokol událostí na počítačích se systémem Windows. Přečtěte si také o čem ID události 4769 je a jak to opravit.

Pokud máte další dotazy nebo návrhy, laskavě je napište do sekce komentářů.