इवेंट आईडी 4726: एक उपयोगकर्ता खाता हटा दिया गया था [ठीक करें]

जब आपको यह इवेंट आईडी मिल जाए तो ADSI एडिट का उपयोग करके ऑडिटिंग सक्षम करें

हमारे कुछ पाठक डोमेन नियंत्रक में Windows सुरक्षा घटना 4726 देखने की शिकायत करते हैं। इवेंट लॉग इंगित करता है कि एक उपयोगकर्ता खाता हटा दिया गया था और रिकॉर्ड की गई घटना के बारे में अन्य विवरण। हालांकि, यह गाइड आपको बताएगी कि इवेंट आईडी को कैसे ठीक किया जाए।

इसके अलावा, आप के बारे में पढ़ सकते हैं इवेंट आईडी 7023 त्रुटि और विंडोज 11 पर इसे हल करने के लिए कुछ सुधार।

घटना 4726 क्या है?

इवेंट आईडी 4726 एक विंडोज सुरक्षा घटना है जो उपयोगकर्ता खाते को हटाने का संकेत देती है। जब यह ईवेंट लॉग किया जाता है, तो Windows सक्रिय निर्देशिका से एक उपयोगकर्ता खाता हटा दिया गया था या हटा दिया गया था।

यह घटना आमतौर पर विंडोज डोमेन नियंत्रक पर सुरक्षा इवेंट लॉग में दर्ज की जाती है।

इवेंट आईडी 4726 की निगरानी करके, सिस्टम एडमिनिस्ट्रेटर अपने में उपयोगकर्ता खाते के विलोपन का ट्रैक रख सकते हैं Windows डोमेन वातावरण और उपयोगकर्ता से संबंधित किसी भी अनधिकृत या संदिग्ध गतिविधियों की पहचान करें हिसाब किताब।

इवेंट आईडी 4726 का क्या कारण है?

विभिन्न कारकों के कारण इवेंट आईडी 4726 हो सकता है। यहां कुछ सामान्य परिदृश्य हैं जो इस घटना को ट्रिगर कर सकते हैं:

• प्रशासनिक कार्यवाही - एक व्यवस्थापक या पर्याप्त विशेषाधिकार वाले उपयोगकर्ता ने सक्रिय निर्देशिका उपकरण या PowerShell कमांड का उपयोग करके जानबूझकर उपयोगकर्ता खाते को हटा दिया।
• खाता समाप्ति - यदि किसी उपयोगकर्ता खाते को किसी विशिष्ट तिथि पर या एक निश्चित अवधि के बाद समाप्त होना है, तो समाप्ति की स्थिति मौजूद होने पर इसे सिस्टम द्वारा स्वचालित रूप से हटाया जा सकता है।
• खाता सफाई - उपयोगकर्ता खाते कभी-कभी नियमित रखरखाव या सफाई प्रक्रियाओं के भाग के रूप में हटाए जा सकते हैं। यह सक्रिय निर्देशिका वातावरण से निष्क्रिय या अप्रयुक्त खातों को हटाने के लिए हो सकता है।
• समाप्ति या प्रस्थान - जब कोई कर्मचारी किसी संगठन को छोड़ता है, तो नेटवर्क संसाधनों तक पहुंच को रद्द करने और सुरक्षा बनाए रखने के लिए उनके उपयोगकर्ता खाते को हटाया जा सकता है।
• दुर्भावनापूर्ण गतिविधि - अनधिकृत पहुंच या हैकिंग के प्रयासों के दुर्भाग्यपूर्ण मामलों में, एक हमलावर के पास पर्याप्त विशेषाधिकार संचालन को बाधित करने, उनके ट्रैक को कवर करने, या को नुकसान पहुंचाने के लिए उपयोगकर्ता खातों को हटा सकते हैं संगठन।

ये कारक विभिन्न कंप्यूटरों पर भिन्न हो सकते हैं। भले ही, हम समस्या को हल करने के लिए कुछ बुनियादी सुधारों पर चर्चा करेंगे।

यदि मैं इवेंट आईडी 4726 देखता हूं तो मैं क्या कर सकता हूं?

1. ADSI संपादन का उपयोग करके ऑडिटिंग सक्षम करें

1. प्रेस खिड़कियाँ + आर कुंजी खोलने के लिए दौड़ना डायलॉग बॉक्स, टाइप करें ADSIEdit.msc, और दबाएं प्रवेश करना सक्रिय निर्देशिका सेवा इंटरफ़ेस (ADSI) कंसोल खोलने के लिए.
2. राइट-क्लिक करें एडीएसआई संपादित करें ऊपर-बाईं ओर विकल्प, फिर चयन करें से कनेक्ट ड्रॉप-डाउन से।
3. कनेक्शन सेटिंग्स विंडो में, क्लिक करें एक प्रसिद्ध नामकरण प्रसंग का चयन करें विकल्प और चयन करें डिफ़ॉल्ट नामकरण संदर्भ ड्रॉप-डाउन मेनू में, फिर क्लिक करें ठीक.
4. इसका विस्तार करें डिफ़ॉल्ट नामकरण संदर्भ विकल्प, राइट-क्लिक करें डीसी = www, डीसी = डोमेन, डीसी = कॉम, और चुनें गुण संदर्भ मेनू से।
5. पर जाएँ सुरक्षा टैब और क्लिक करें विकसित खोलने के लिए उन्नत सुरक्षा सेटिंग्स।
6. का चयन करें लेखा परीक्षा टैब और क्लिक करें जोड़ना उन उपयोगकर्ताओं के लिए ऑडिटिंग प्रविष्टि जोड़ने के लिए जिनके कार्यों की आप निगरानी करना चाहते हैं।
7. फिर, क्लिक करें एक प्रिंसिपल का चयन करें विकल्प।
   
8. पर जाएँ वस्तु का नाम दर्ज करें प्रवेश और प्रकार सब लोग, क्लिक करें नामों की जांच करें नाम सत्यापित करने के लिए बटन, फिर क्लिक करें ठीक.
9. पर ऑडिटिंग एंट्री विंडो, क्लिक करें प्रकार विकल्प और चयन करें सभी ड्रॉप-डाउन मेनू से।
10. क्लिक इसपर लागू होता है करने के लिए और चयन करें यह वस्तु और सभी वंशज वस्तुएँ ड्रॉप-डाउन मेनू से।
11. निम्नलिखित मदों के लिए बक्सों की जाँच करें: पूर्ण नियंत्रण,सूची सामग्री, सभी गुण पढ़ें, और अनुमतियाँ पढ़ें, फिर क्लिक करें ठीक बटन।
12. पर उन्नत सुरक्षा सेटिंग्स, क्लिक करें आवेदन करना और ठीक बटन।
13. ADSI संपादन विंडो बंद करें।

जब आप इवेंट आईडी 4726 प्राप्त करते हैं, तो आपको हटाए गए उपयोगकर्ता और कंप्यूटर खातों को ट्रैक करना होगा। इसे एक्टिव डायरेक्ट्री सर्विस इंटरफेस (एडीएसआई) में ऑडिटिंग को सक्षम करके किया जाना है।

2. एडी में हटाए गए उपयोगकर्ता खातों और कंप्यूटरों की जांच के लिए इवेंट व्यूअर का उपयोग करें

1. बायां क्लिक शुरू विंडोज मेनू पर, टाइप करें घटना दर्शी, और दबाएं प्रवेश करना.
2. अब, पर जाएँ विंडोज लॉग्स और चुनें सुरक्षा.
3. के लिए खोजें इवेंट आईडी 4726 (विज्ञापन उपयोगकर्ता/खाता हटाया गया ईवेंट आईडी) और इवेंट आईडी 4743 (कंप्यूटर अकाउंट डिलीटेड इवेंट आईडी) उपयोगकर्ता और कंप्यूटर अकाउंट डिलीट की पहचान करने के लिए।
4. फिर, खोजने के लिए नीचे स्क्रॉल करें खाते, कंप्यूटर ऑब्जेक्ट और कंप्यूटर खाते हटा दिया गया।

एक बार जब आप ऑडिटिंग सक्षम कर लेते हैं, तो इवेंट व्यूअर हटाए गए कंप्यूटर और उपयोगकर्ता ऑब्जेक्ट को लॉग कर देगा।

इस विषय के बारे में और पढ़ें

• यूएसबी ड्राइव गलत आकार दिखा रहा है? इसे 2 चरणों में ठीक करें
• ठीक करें: आप यह परिवर्तन नहीं कर सकते क्योंकि चयन लॉक है
• फिक्स: मेमोरी इंटीग्रिटी को Ftdibus.sys के कारण चालू नहीं किया जा सकता है

3. खाते को किसने हटाया, यह पता लगाने के लिए PowerShell का उपयोग करें

1. बायाँ-क्लिक करें खिड़कियाँ चिह्न, प्रकार पावरशेल, और क्लिक करें व्यवस्थापक के रूप में चलाएं।
2. फिर, निम्नलिखित इनपुट करें और दबाएं प्रवेश करना: गेट-इवेंटलॉग -लॉगनाम सुरक्षा | वेयर-ऑब्जेक्ट {$_.EventID -eq 4726} | सेलेक्ट-ऑब्जेक्ट-प्रॉपर्टी *
3. के अंतर्गत हटाए गए उपयोगकर्ता खाते का पता लगाएँ संदेश> विषय. उस उपयोगकर्ता का खाता नाम और सुरक्षा आईडी देखी जा सकती है जिसने लक्षित उपयोगकर्ता को हटाया है।

अंत में, हमारे पास कैसे करें पर एक व्यापक मार्गदर्शिका है इवेंट लॉग साफ़ करें विंडोज कंप्यूटर पर। साथ ही पढ़ें, क्या है इवेंट आईडी 4769 है और इसे कैसे ठीक किया जाए।

यदि आपके और प्रश्न या सुझाव हैं, तो कृपया उन्हें टिप्पणी अनुभाग में छोड़ दें।