ID de evento 4726: se eliminó una cuenta de usuario [Fijar]

Habilite la auditoría usando ADSI Edit cuando obtenga este ID de evento

  • El ID de evento 4726 indica que se eliminó una cuenta de usuario de la computadora.
  • No debe alarmarse si aparece este ID de evento, a menos que los cambios los haya realizado un tercero.
ID de evento 4726

XINSTALAR HACIENDO CLIC EN EL ARCHIVO DE DESCARGA

Para solucionar varios problemas de PC, recomendamos DriverFix:Este software mantendrá sus controladores en funcionamiento, lo que lo mantendrá a salvo de errores informáticos comunes y fallas de hardware. Compruebe todos sus controladores ahora en 3 sencillos pasos:
  1. Descargar DriverFix (archivo de descarga verificado).
  2. Hacer clic Iniciar escaneo para encontrar todos los controladores problemáticos.
  3. Hacer clic Actualizar los controladores para obtener nuevas versiones y evitar fallas en el sistema.
  • DriverFix ha sido descargado por 0 lectores este mes.

Algunos de nuestros lectores se quejan de ver el evento de seguridad de Windows 4726 en el controlador de dominio. El registro de eventos indica que se eliminó una cuenta de usuario y otros detalles sobre el evento registrado. Sin embargo, esta guía lo guiará a través de cómo corregir la ID del evento.

Además, puede leer sobre la error de ID de evento 7023 y algunas correcciones para resolverlo en Windows 11.

¿Qué es el evento 4726?

El ID de evento 4726 es un evento de seguridad de Windows que indica la eliminación de una cuenta de usuario. Cuando se registra este evento, se eliminó o eliminó una cuenta de usuario de Windows Active Directory.

Este evento generalmente se registra en el registro de eventos de seguridad en un controlador de dominio de Windows.

Al monitorear el ID de evento 4726, los administradores del sistema pueden realizar un seguimiento de las eliminaciones de cuentas de usuario en sus entorno de dominio de Windows e identificar cualquier actividad no autorizada o sospechosa relacionada con el usuario cuentas

¿Qué causa el evento ID 4726?

Varios factores pueden causar el evento ID 4726. Aquí hay algunos escenarios comunes que pueden desencadenar este evento:

  • Acción administrativa – Un administrador o usuario con suficientes privilegios eliminó deliberadamente la cuenta de usuario mediante las herramientas de Active Directory o los comandos de PowerShell.
  • Caducidad de la cuenta – Si una cuenta de usuario va a caducar en una fecha específica o después de un período determinado, el sistema puede eliminarla automáticamente cuando exista la condición de caducidad.
  • limpieza de cuenta – Las cuentas de usuario a veces se pueden eliminar como parte de los procesos de limpieza o mantenimiento de rutina. Puede ser para eliminar cuentas inactivas o no utilizadas del entorno de Active Directory.
  • Terminación o salida – Cuando un empleado deja una organización, su cuenta de usuario puede eliminarse para revocar el acceso a los recursos de la red y mantener la seguridad.
  • Actividad maliciosa – En casos desafortunados de acceso no autorizado o intentos de piratería, un atacante con suficiente privilegios pueden eliminar cuentas de usuario para interrumpir las operaciones, cubrir sus huellas o causar daño a la organización.

Estos factores pueden variar en diferentes equipos. De todos modos, discutiremos algunas soluciones básicas para resolver el problema.

¿Qué puedo hacer si veo el ID de evento 4726?

1. Habilite la auditoría usando ADSI Edit

  1. Prensa ventanas + R llaves para abrir el Correr cuadro de diálogo, escriba ADSIEdit.msc, y presiona Ingresar para abrir la consola de la interfaz de servicio de Active Directory (ADSI).
  2. Haga clic derecho en el Edición ADSI opción en el lado superior izquierdo, luego seleccione Conectar a del menú desplegable.
  3. En la ventana Configuración de conexión, haga clic en el Seleccione un contexto de nomenclatura conocido opción y seleccione Contexto de nomenclatura predeterminado en el menú desplegable, luego haga clic en DE ACUERDO.
  4. Ampliar la Contexto de nomenclatura predeterminado opción, haga clic derecho en DC=www, DC=dominio, DC=comy seleccione Propiedades del menú contextual.
  5. Ve a la Seguridad pestaña y haga clic Avanzado para abrir el Configuración de seguridad avanzada.
  6. Selecciona el Revisión de cuentas pestaña y haga clic Agregar para agregar la entrada de auditoría para los usuarios cuyas acciones desea monitorear.
  7. Luego, haga clic en el Seleccione un director opción.
  8. Ve a la Introduzca el nombre del objeto entrada y tipo Todos, haga clic en el Comprobar nombres para verificar el nombre, luego haga clic en DE ACUERDO.
  9. Sobre el Entrada de auditoría ventana, haga clic en el Tipo opción y seleccione Todo del menú desplegable.
  10. Hacer clic Aplica a y seleccione Este objeto y todos los objetos descendientes del menú desplegable.
  11. Marque las casillas de los siguientes elementos: Control total,Contenido de la lista, Leer todas las propiedades, y Permisos de lectura, luego haga clic en el DE ACUERDO botón.
  12. Sobre el Configuración de seguridad avanzada, haga clic en el Aplicar y DE ACUERDO botones.
  13. Cierre la ventana de edición de ADSI.

Cuando obtenga el ID de evento 4726, debe realizar un seguimiento de las cuentas de usuario y de equipo eliminadas. Tiene que hacerse habilitando la auditoría en la interfaz de servicio de Active Directory (ADSI).

2. Use el Visor de eventos para verificar las cuentas de usuario y las computadoras eliminadas en AD

  1. Click izquierdo Comenzar en el menú de Windows, escriba Visor de eventosy presione Ingresar.
  2. Ahora, ve a Registros de Windows y seleccione Seguridad.
  3. Busca el identificador de evento 4726 (ID de evento de cuenta/usuario de AD eliminado) y identificador de evento 4743 (Identificador de evento eliminado de la cuenta de la computadora) para identificar las eliminaciones de la cuenta del usuario y de la computadora.
  4. Luego, desplácese hacia abajo para ubicar el cuentas, objetos de computadora y cuentas de computadora eliminado

Una vez que haya habilitado la auditoría, el Visor de eventos registrará la computadora y los objetos de usuario eliminados.

Leer más sobre este tema
  • ¿La unidad USB muestra el tamaño incorrecto? Solucionarlo en 2 pasos
  • Solución: no puede realizar este cambio porque la selección está bloqueada
  • Solución: la integridad de la memoria no se puede activar debido a Ftdibus.sys

3. Use PowerShell para detectar quién eliminó la cuenta

  1. Haga clic con el botón izquierdo en el ventanas icono, tipo Potencia Shelly haga clic en Ejecutar como administrador.
  2. Luego, ingrese lo siguiente y presione Ingresar: Get-EventLog -LogName Seguridad | Donde-Objeto {$_.EventID -eq 4726} | Seleccionar-Objeto-Propiedad *
  3. Localice la cuenta de usuario eliminada en Mensaje > Asunto. Se pueden ver el nombre de la cuenta y el ID de seguridad del usuario que realizó la eliminación en el usuario de destino.

En conclusión, tenemos una guía completa sobre cómo borrar el registro de eventos en computadoras con Windows. Además, lea sobre lo que identificador de evento 4769 es y cómo solucionarlo.

Si tiene más preguntas o sugerencias, por favor déjelas en la sección de comentarios.

¿Sigues teniendo problemas? Solucionarlos con esta herramienta:

PATROCINADO

Algunos problemas relacionados con los controladores se pueden resolver más rápido mediante el uso de una herramienta dedicada. Si aún tiene problemas con sus controladores, simplemente descargue DriverFix y póngalo en funcionamiento con unos pocos clics. ¡Después de eso, deje que se haga cargo y corrija todos sus errores en poco tiempo!

¿Qué es el Id. de evento 4104 y cómo solucionarlo rápidamente?

¿Qué es el Id. de evento 4104 y cómo solucionarlo rápidamente?Visor De EventosVisores De Registro De Eventos

Consulte esta guía para conocer las posibles soluciones. El id. de evento 4104 se produce cuando no se puede acceder al puerto de llamada a procedimiento remoto (RPC).Reiniciar los servicios de ter...

Lee mas
10 mejores prácticas de registro de eventos de Windows que debe conocer

10 mejores prácticas de registro de eventos de Windows que debe conocerVisor De Eventos

Aprenda la mejor combinación de prácticas de registro de eventos de WindowsSolo registrar registros de eventos no es suficiente, ya que necesita extraer información de ellos.Debe tener toda la info...

Lee mas
ID de evento 161 Volmgr: ¿Qué es este error y cómo solucionarlo?

ID de evento 161 Volmgr: ¿Qué es este error y cómo solucionarlo?Ventanas 11Visor De Eventos

Los controladores obsoletos podrían ser la razónVolmgr, también conocido como archivo de controlador de administrador de volumen, es un tipo de archivo Win64 EXE que administra el almacenamiento de...

Lee mas