Eseményazonosító 4726: Egy felhasználói fiók törölve [Javítás]

Engedélyezze a naplózást az ADSI szerkesztés használatával, ha megkapja ezt az eseményazonosítót

Néhány olvasónk arról panaszkodik, hogy a 4726-os Windows biztonsági eseményt látja a Domain Controllerben. Az eseménynapló azt jelzi, hogy egy felhasználói fiókot töröltek, és a rögzített esemény egyéb részleteit. Ez az útmutató azonban végigvezeti Önt az eseményazonosító javításán.

Emellett olvashatsz a 7023-as eseményazonosító hiba és néhány javítás a probléma megoldására Windows 11 rendszeren.

Mi az a 4726-os esemény?

A 4726-os eseményazonosító egy Windows biztonsági esemény, amely egy felhasználói fiók törlését jelzi. Az esemény naplózásakor egy felhasználói fiókot eltávolítottak vagy töröltek a Windows Active Directoryból.

Ezt az eseményt általában a Windows tartományvezérlő biztonsági eseménynaplójában rögzítik.

A 4726-os eseményazonosító figyelésével a rendszergazdák nyomon követhetik a felhasználói fiókok törlését Windows tartományi környezet, és azonosítsa a felhasználóval kapcsolatos jogosulatlan vagy gyanús tevékenységeket fiókok.

Mi okozza a 4726-os eseményazonosítót?

Különféle tényezők okozhatják a 4726 azonosítójú eseményt. Íme néhány gyakori forgatókönyv, amelyek kiválthatják ezt az eseményt:

• Adminisztratív intézkedés – Egy rendszergazda vagy megfelelő jogosultsággal rendelkező felhasználó szándékosan törölte a felhasználói fiókot az Active Directory-eszközök vagy PowerShell-parancsok segítségével.
• Számla lejárta – Ha egy felhasználói fiók egy adott napon vagy egy bizonyos időszak után lejár, akkor azt a rendszer automatikusan törölheti, ha fennáll a lejárati feltétel.
• Fióktisztítás – A felhasználói fiókok időnként törlésre kerülnek a rutin karbantartási vagy tisztítási folyamatok részeként. Ez lehet az inaktív vagy nem használt fiókok eltávolítása az Active Directory környezetből.
• Felmondás vagy távozás – Amikor egy alkalmazott elhagyja a szervezetet, a felhasználói fiókja törlésre kerülhet a hálózati erőforrásokhoz való hozzáférés visszavonása és a biztonság fenntartása érdekében.
• Rosszindulatú tevékenység – Sajnálatos esetekben jogosulatlan hozzáférés vagy hackelési kísérlet esetén a támadó elegendő jogosultságok törölhetik a felhasználói fiókokat, hogy megzavarják a műveleteket, lefedjék nyomaikat, vagy kárt okozzanak a szervezet.

Ezek a tényezők a különböző számítógépeken eltérőek lehetnek. Ettől függetlenül megvitatunk néhány alapvető javítást a probléma megoldására.

Mit tehetek, ha látom a 4726-os eseményazonosítót?

1. Engedélyezze az auditálást az ADSI szerkesztés segítségével

1. nyomja meg ablakok + R gombok megnyitásához Fuss párbeszédablak, írja be ADSIEdit.msc, és nyomja meg Belép az Active Directory Service Interface (ADSI) konzol megnyitásához.
2. Kattintson jobb gombbal a ADSI szerkesztés lehetőséget a bal felső sarokban, majd válassza ki Kapcsolodni a legördülő menüből.
3. A Kapcsolat beállításai ablakban kattintson a Válasszon egy jól ismert elnevezési kontextust opciót, és válassza ki Alapértelmezett elnevezési kontextus a legördülő menüben, majd kattintson rendben.
4. Bontsa ki a Alapértelmezett elnevezési kontextus opciót, kattintson a jobb gombbal DC=www, DC=domain, DC=comés válassza ki a lehetőséget Tulajdonságok a helyi menüből.
5. Menj a Biztonság fület, és kattintson Fejlett kinyitni a Speciális biztonsági beállítások.
6. Válaszd ki a Auditálás fület, és kattintson Hozzáadás a megfigyelési bejegyzés hozzáadásához azon felhasználók számára, akiknek a tevékenységét figyelni szeretné.
7. Ezután kattintson a Válasszon megbízót választási lehetőség.
   
8. Menj a Adja meg az objektum nevét bejegyzés és típus Mindenki, kattints a Ellenőrizze a neveket gombra a név ellenőrzéséhez, majd kattintson rendben.
9. A Könyvvizsgálói bejegyzés ablakban kattintson a típus opciót, és válassza ki Minden a legördülő menüből.
10. Kattintson Érvényes és válassza ki Ez az objektum és az összes leszármazott objektum a legördülő menüből.
11. Jelölje be a következő elemek négyzeteit: Teljes felügyelet,Tartalom listája, Olvassa el az összes tulajdonságot, és Olvasási engedélyek, majd kattintson a gombra rendben gomb.
12. A Speciális biztonsági beállítások, kattints a Alkalmaz és rendben gombokat.
13. Zárja be az ADSI-szerkesztés ablakot.

Amikor megkapja a 4726-os eseményazonosítót, nyomon kell követnie a törölt felhasználói és számítógépfiókokat. Ezt az Active Directory Service Interface (ADSI) auditálás engedélyezésével kell elvégezni.

2. Használja az Eseménynaplót a törölt felhasználói fiókok és számítógépek ellenőrzéséhez az AD-ben

1. Bal klikk Rajt a Windows menübe írja be Eseménynéző, és nyomja meg Belép.
2. Most menj ide Windows naplók és válassza ki Biztonság.
3. Keresse meg a eseményazonosító 4726 (AD-felhasználó/fiók törölt eseményazonosító) és eseményazonosító 4743 (Számítógépes fiók törölt eseményazonosítója) a felhasználó és a számítógépfiók törlésének azonosítására.
4. Ezután görgessen lefelé, hogy megkeresse a fiókok, számítógépes objektumok és számítógépes fiókok törölve.

Miután engedélyezte a naplózást, az Eseménynapló naplózza a törölt számítógép- és felhasználói objektumokat.

Olvasson többet erről a témáról

• Rossz méretű az USB-meghajtó? Javítsa ki 2 lépésben
• Javítás: Ezt a módosítást nem hajthatja végre, mert a kijelölés zárolva van
• Javítás: A memória integritása nem kapcsolható be az Ftdibus.sys miatt

3. A PowerShell segítségével észlelheti, hogy ki törölte a fiókot

1. Kattintson a bal gombbal a ablakok ikon, típus PowerShell, és kattintson Futtatás rendszergazdaként.
2. Ezután írja be a következőket, és nyomja meg a gombot Belép: Get-EventLog -LogName Biztonság | Ahol-Object {$_.EventID -eq 4726} | Objektum kiválasztása - Tulajdonság *
3. Keresse meg a törölt felhasználói fiókot a alatt Üzenet > Tárgy. Megtekinthető annak a felhasználónak a fiókneve és biztonsági azonosítója, aki a törlést végrehajtotta a célfelhasználón.

Végezetül, van egy átfogó útmutatónk arról, hogyan kell törölje az eseménynaplót Windows számítógépeken. Továbbá olvassa el, miről eseményazonosító 4769 van, és hogyan lehet kijavítani.

Ha további kérdései vagy javaslatai vannak, kérjük, tegye fel azokat a megjegyzés rovatban.