ID evento 4726: un account utente è stato eliminato [correzione]

Abilita il controllo utilizzando ADSI Edit quando ottieni questo ID evento

  • L'ID evento 4726 indica che un account utente è stato eliminato dal computer.
  • Non dovresti allarmarti se viene visualizzato questo ID evento, a meno che le modifiche non siano state apportate da una terza parte.
ID evento 4726

XINSTALLARE CLICCANDO SUL FILE DI DOWNLOAD

Per risolvere vari problemi del PC, consigliamo DriverFix:Questo software manterrà i tuoi driver attivi e funzionanti, proteggendoti così da errori comuni del computer e guasti hardware. Controlla subito tutti i tuoi driver in 3 semplici passaggi:
  1. Scarica DriverFix (file di download verificato).
  2. Clic Inizia scansione per trovare tutti i driver problematici.
  3. Clic Aggiorna driver per ottenere nuove versioni ed evitare malfunzionamenti del sistema.
  • DriverFix è stato scaricato da 0 lettori questo mese.

Alcuni dei nostri lettori si lamentano di vedere l'evento di sicurezza di Windows 4726 nel controller di dominio. Il registro eventi indica che un account utente è stato eliminato e altri dettagli sull'evento registrato. Tuttavia, questa guida ti illustrerà come correggere l'ID evento.

Inoltre, puoi leggere informazioni su errore ID evento 7023 e alcune correzioni per risolverlo su Windows 11.

Cos'è l'evento 4726?

L'ID evento 4726 è un evento di sicurezza di Windows che indica l'eliminazione di un account utente. Quando questo evento viene registrato, un account utente è stato rimosso o eliminato da Windows Active Directory.

Questo evento viene in genere registrato nel registro eventi di sicurezza su un controller di dominio Windows.

Monitorando l'ID evento 4726, gli amministratori di sistema possono tenere traccia delle eliminazioni degli account utente nei loro Ambiente di dominio Windows e identificare eventuali attività non autorizzate o sospette relative all'utente conti.

Che cosa causa l'ID evento 4726?

Vari fattori possono causare l'ID evento 4726. Ecco alcuni scenari comuni che possono attivare questo evento:

  • Azione amministrativa – Un amministratore o un utente con privilegi sufficienti ha deliberatamente eliminato l'account utente utilizzando gli strumenti di Active Directory o i comandi di PowerShell.
  • Scadenza del conto – Se un account utente deve scadere in una data specifica o dopo un certo periodo, può essere eliminato automaticamente dal sistema quando si verifica la condizione di scadenza.
  • Pulizia dell'account – Gli account utente a volte possono essere eliminati come parte dei processi di manutenzione ordinaria o di pulizia. Può essere per rimuovere account inattivi o inutilizzati dall'ambiente Active Directory.
  • Risoluzione o partenza – Quando un dipendente lascia un'organizzazione, il suo account utente può essere eliminato per revocare l'accesso alle risorse di rete e mantenere la sicurezza.
  • Attività dannosa – In sfortunati casi di accesso non autorizzato o tentativi di hacking, un utente malintenzionato con sufficiente i privilegi possono eliminare gli account utente per interrompere le operazioni, coprire le loro tracce o causare danni al organizzazione.

Questi fattori possono variare su computer diversi. Indipendentemente da ciò, discuteremo alcune correzioni di base per risolvere il problema.

Cosa posso fare se vedo l'ID evento 4726?

1. Abilita il controllo utilizzando ADSI Edit

  1. Premere finestre + R chiavi per aprire il Correre finestra di dialogo, tipo ADSIEdit.msc, e premere accedere per aprire la console ADSI (Active Directory Service Interface)..
  2. Fare clic con il pulsante destro del mouse su Modifica ADSI opzione in alto a sinistra, quindi selezionare Connettiti a dal menu a discesa.
  3. Nella finestra Impostazioni connessione, fare clic su Seleziona un contesto di denominazione noto opzione e selezionare Contesto di denominazione predefinito nel menu a discesa, quindi fare clic su OK.
  4. Espandi il Contesto di denominazione predefinito opzione, fare clic con il tasto destro su DC=www, DC=dominio, DC=come selezionare Proprietà dal menu contestuale.
  5. Vai al Sicurezza scheda e fare clic Avanzate per aprire il Impostazioni di sicurezza avanzate.
  6. Seleziona il Revisione scheda e fare clic Aggiungere per aggiungere la voce di controllo per gli utenti di cui si desidera monitorare le azioni.
  7. Quindi, fare clic su Seleziona un preside opzione.
  8. Vai al Immettere il nome dell'oggetto ingresso e tipo Tutti, clicca il Controlla i nomi pulsante per verificare il nome, quindi fare clic su OK.
  9. Sul Voce di revisione finestra, fare clic su Tipo opzione e selezionare Tutto dal menu a tendina.
  10. Clic Si applica a e selezionare Questo oggetto e tutti gli oggetti discendenti dal menu a tendina.
  11. Seleziona le caselle per i seguenti elementi: Pieno controllo,Contenuto dell'elenco, Leggi tutte le proprietà, E Permessi di lettura, quindi fare clic su OK pulsante.
  12. Sul Impostazioni di sicurezza avanzate, clicca il Fare domanda a E OK bottoni.
  13. Chiudere la finestra Modifica ADSI.

Quando ricevi l'ID evento 4726, devi tenere traccia degli account utente e computer eliminati. Deve essere fatto abilitando il controllo in Active Directory Service Interface (ADSI).

2. Utilizza il Visualizzatore eventi per controllare gli account utente e i computer eliminati in AD

  1. Fare clic con il pulsante sinistro del mouse Inizio nel menu di Windows, digitare Visualizzatore eventie premere accedere.
  2. Ora vai a Registri di Windows e seleziona Sicurezza.
  3. Cerca il ID evento 4726 (ID evento cancellato utente/account AD) e ID evento 4743 (ID evento eliminato account computer) per identificare le eliminazioni di account utente e computer.
  4. Quindi, scorrere verso il basso per individuare il file account, oggetti computer e account computer cancellato.

Una volta abilitato il controllo, il Visualizzatore eventi registrerà gli oggetti computer e utente eliminati.

Leggi di più su questo argomento
  • L'unità USB mostra dimensioni errate? Risolvilo in 2 passaggi
  • Correzione: non è possibile apportare questa modifica perché la selezione è bloccata
  • Correzione: l'integrità della memoria non può essere attivata a causa di Ftdibus.sys

3. Usa PowerShell per rilevare chi ha eliminato l'account

  1. Fare clic con il pulsante sinistro del mouse su finestre icona, tipo PowerShelle fare clic Esegui come amministratore.
  2. Quindi, inserire quanto segue e premere accedere: Get-EventLog -LogName Sicurezza | Where-Object {$_.EventID -eq 4726} | Seleziona-Oggetto -Proprietà *
  3. Individua l'account utente eliminato in Messaggio > Oggetto. È possibile visualizzare il nome account e l'ID di sicurezza dell'utente che ha eseguito l'eliminazione sull'utente di destinazione.

In conclusione, abbiamo una guida completa su come cancellare il registro eventi su computer Windows. Inoltre, leggi cosa ID evento 4769 è e come risolverlo.

Se hai ulteriori domande o suggerimenti, inseriscili gentilmente nella sezione dei commenti.

Hai ancora problemi? Risolvili con questo strumento:

SPONSORIZZATO

Alcuni problemi relativi ai driver possono essere risolti più rapidamente utilizzando uno strumento dedicato. Se hai ancora problemi con i tuoi driver, basta scaricare DriverFix e farlo funzionare in pochi clic. Dopodiché, lascia che prenda il sopravvento e correggi tutti i tuoi errori in pochissimo tempo!

Come risolvere il Visualizzatore eventi che non funziona in Windows 10 e 11

Come risolvere il Visualizzatore eventi che non funziona in Windows 10 e 11Visualizzatore Eventi

Sovrascrivi i file di registro precedenti per risolvere questo problemaIl Visualizzatore eventi è un'utilità utile in quanto consente agli utenti di gestire i propri eventi di sistema e risolvere e...

Leggi di più
Come eseguire il backup o esportare il registro eventi di Windows

Come eseguire il backup o esportare il registro eventi di WindowsVisualizzatore Eventi

Scopri i passaggi dettagliati per esportare il registro di WindowsIl Visualizzatore eventi di Windows registra tutti gli eventi sul tuo sistema.Puoi scoprire come esportare facilmente il file di re...

Leggi di più
Che cos'è l'ID evento 4104 e come risolverlo rapidamente

Che cos'è l'ID evento 4104 e come risolverlo rapidamenteVisualizzatore EventiVisualizzatori Del Registro Eventi

Fare riferimento a questa guida per le possibili correzioni L'ID evento 4104 si verifica quando non è possibile raggiungere la porta RPC (Remote Procedure Call).Il riavvio dei servizi terminal aiut...

Leggi di più