Tapahtumatunnus 4726: Käyttäjätili poistettiin [Korjaa]

Ota auditointi käyttöön ADSI-muokkaustoiminnolla, kun saat tämän tapahtumatunnuksen

Jotkut lukijoistamme valittavat nähdessään Windows-tietoturvatapahtuman 4726 Domain Controllerissa. Tapahtumaloki ilmoittaa, että käyttäjätili on poistettu, ja muita tietoja tallennetusta tapahtumasta. Tämä opas opastaa kuitenkin tapahtumatunnuksen korjaamisessa.

Voit myös lukea aiheesta tapahtumatunnus 7023 -virhe ja joitain korjauksia sen ratkaisemiseksi Windows 11:ssä.

Mikä on tapahtuma 4726?

Tapahtumatunnus 4726 on Windowsin tietoturvatapahtuma, joka ilmaisee käyttäjätilin poistamisen. Kun tämä tapahtuma kirjataan, käyttäjätili poistettiin tai poistettiin Windows Active Directorysta.

Tämä tapahtuma kirjataan yleensä suojaustapahtumalokiin Windows-toimialueen ohjaimessa.

Valvomalla tapahtumatunnusta 4726 järjestelmänvalvojat voivat seurata käyttäjätilien poistoja Windows-toimialueympäristössä ja tunnistaa kaikki käyttäjään liittyvät luvattomat tai epäilyttävät toimet tilit.

Mikä aiheuttaa tapahtumatunnuksen 4726?

Useat tekijät voivat aiheuttaa tapahtuman ID 4726. Tässä on joitain yleisiä skenaarioita, jotka voivat laukaista tämän tapahtuman:

• Hallinnollinen toimenpide – Järjestelmänvalvoja tai käyttäjä, jolla on riittävät oikeudet, poisti tarkoituksella käyttäjätilin Active Directory -työkalujen tai PowerShell-komentojen avulla.
• Tilin vanheneminen – Jos käyttäjätili vanhenee tiettynä päivänä tai tietyn ajan kuluttua, järjestelmä voi poistaa sen automaattisesti vanhentumisehdon täyttyessä.
• Tilin puhdistus – Käyttäjätilejä saatetaan joskus poistaa osana rutiinihuolto- tai puhdistusprosesseja. Se voi olla ei-aktiivisten tai käyttämättömien tilien poistamiseen Active Directory -ympäristöstä.
• Irtisanominen tai lähtö – Kun työntekijä lähtee organisaatiosta, hänen käyttäjätilinsä voidaan poistaa verkkoresurssien käyttöoikeuden peruuttamiseksi ja turvallisuuden ylläpitämiseksi.
• Haitallista toimintaa – Valitettavan luvattoman pääsyn tai hakkerointiyritysten tapauksessa hyökkääjällä on riittävästi käyttöoikeudet voivat poistaa käyttäjätilejä häiritäkseen toimintaa, peittääkseen niiden jälkiä tai aiheuttaakseen vahinkoa organisaatio.

Nämä tekijät voivat vaihdella eri tietokoneissa. Siitä huolimatta keskustelemme joistakin peruskorjauksista ongelman ratkaisemiseksi.

Mitä voin tehdä, jos näen tapahtumatunnuksen 4726?

1. Ota auditointi käyttöön ADSI-muokkaustoiminnolla

1. Lehdistö Windows + R avaimet avataksesi Juosta valintaikkuna, kirjoita ADSIEdit.msc, ja paina Tulla sisään avataksesi Active Directory Service Interface (ADSI) -konsolin.
2. Napsauta hiiren kakkospainikkeella ADSI-muokkaus -vaihtoehto vasemmassa yläkulmassa ja valitse sitten Yhdistää avattavasta valikosta.
3. Napsauta Yhteysasetukset-ikkunassa Valitse tunnettu nimeämiskonteksti vaihtoehto ja valitse Oletusnimeämiskonteksti avattavassa valikossa ja napsauta sitten OK.
4. Laajenna Oletusnimeämiskonteksti vaihtoehto, napsauta hiiren kakkospainikkeella DC=www, DC=verkkotunnus, DC=comja valitse Ominaisuudet kontekstivalikosta.
5. Siirry kohtaan Turvallisuus -välilehteä ja napsauta Pitkälle kehittynyt avaamaan Suojauksen lisäasetukset.
6. Valitse Tilintarkastus -välilehteä ja napsauta Lisätä lisätäksesi valvontamerkinnän käyttäjille, joiden toimintaa haluat seurata.
7. Napsauta sitten Valitse rehtori vaihtoehto.
   
8. Siirry kohtaan Anna objektin nimi merkintä ja tyyppi Kaikki, Klikkaa Tarkista nimet -painiketta vahvistaaksesi nimen ja napsauta sitten OK.
9. Käytössä Tilintarkastusmerkintä ikkunassa, napsauta Tyyppi vaihtoehto ja valitse Kaikki avattavasta valikosta.
10. Klikkaus Pätee ja valitse Tämä objekti ja kaikki jälkeläiset objektit avattavasta valikosta.
11. Valitse seuraavien kohteiden valintaruudut: Täysi hallinta,Listaa sisältö, Lue kaikki ominaisuudet, ja Lukuoikeudetja napsauta sitten OK -painiketta.
12. Käytössä Suojauksen lisäasetukset, Klikkaa Käytä ja OK painikkeita.
13. Sulje ADSI-muokkausikkuna.

Kun saat tapahtumatunnuksen 4726, sinun on seurattava poistettuja käyttäjä- ja tietokonetilejä. Se on tehtävä ottamalla tarkastus käyttöön Active Directory Service Interfacessa (ADSI).

2. Käytä Event Vieweria tarkistaaksesi poistetut käyttäjätilit ja tietokoneet AD: ssa

1. Vasen painallus alkaa kirjoita Windows-valikkoon Tapahtuman katselija, ja paina Tulla sisään.
2. Mene nyt kohtaan Windowsin lokit ja valitse Turvallisuus.
3. Etsi tapahtumatunnus 4726 (AD-käyttäjä/tili poistettu tapahtumatunnus) ja tapahtumatunnus 4743 (Tietokonetilin poistettu tapahtumatunnus) tunnistaa käyttäjän ja tietokonetilin poistot.
4. Vieritä sitten alas löytääksesi tilit, tietokoneobjektit ja tietokonetilit poistettu.

Kun olet ottanut tarkastuksen käyttöön, Event Viewer kirjaa poistetut tietokone- ja käyttäjäobjektit lokiin.

Lue lisää tästä aiheesta

• Näytetäänkö USB-asema väärää kokoa? Korjaa se kahdessa vaiheessa
• Korjaus: Et voi tehdä tätä muutosta, koska valinta on lukittu
• Korjaus: Muistin eheyttä ei voi ottaa käyttöön Ftdibus.sys: n vuoksi

3. PowerShellin avulla voit selvittää, kuka on poistanut tilin

1. Napsauta hiiren vasemmalla painikkeella Windows kuvake, tyyppi PowerShellja napsauta Suorita järjestelmänvalvojana.
2. Syötä sitten seuraava ja paina Tulla sisään: Get-EventLog -LogName Security | Missä-objekti {$_.EventID -eq 4726} | Valitse-objekti-ominaisuus *
3. Etsi poistettu käyttäjätili kohdasta Viesti > Aihe. Kohdekäyttäjälle poiston suorittaneen käyttäjän tilin nimi ja suojaustunnus näkyvät.

Lopuksi, meillä on kattava opas siitä, miten tyhjennä tapahtumaloki Windows-tietokoneissa. Lue myös mistä tapahtumatunnus 4769 on ja miten se korjataan.

Jos sinulla on lisäkysymyksiä tai ehdotuksia, laita ne ystävällisesti kommenttiosioon.