Abilita il controllo utilizzando ADSI Edit quando ottieni questo ID evento
- L'ID evento 4726 indica che un account utente è stato eliminato dal computer.
- Non dovresti allarmarti se viene visualizzato questo ID evento, a meno che le modifiche non siano state apportate da una terza parte.
XINSTALLARE CLICCANDO SUL FILE DI DOWNLOAD
- Scarica DriverFix (file di download verificato).
- Clic Inizia scansione per trovare tutti i driver problematici.
- Clic Aggiorna driver per ottenere nuove versioni ed evitare malfunzionamenti del sistema.
- DriverFix è stato scaricato da 0 lettori questo mese.
Alcuni dei nostri lettori si lamentano di vedere l'evento di sicurezza di Windows 4726 nel controller di dominio. Il registro eventi indica che un account utente è stato eliminato e altri dettagli sull'evento registrato. Tuttavia, questa guida ti illustrerà come correggere l'ID evento.
Inoltre, puoi leggere informazioni su errore ID evento 7023 e alcune correzioni per risolverlo su Windows 11.
Cos'è l'evento 4726?
L'ID evento 4726 è un evento di sicurezza di Windows che indica l'eliminazione di un account utente. Quando questo evento viene registrato, un account utente è stato rimosso o eliminato da Windows Active Directory.
Questo evento viene in genere registrato nel registro eventi di sicurezza su un controller di dominio Windows.
Monitorando l'ID evento 4726, gli amministratori di sistema possono tenere traccia delle eliminazioni degli account utente nei loro Ambiente di dominio Windows e identificare eventuali attività non autorizzate o sospette relative all'utente conti.
Che cosa causa l'ID evento 4726?
Vari fattori possono causare l'ID evento 4726. Ecco alcuni scenari comuni che possono attivare questo evento:
- Azione amministrativa – Un amministratore o un utente con privilegi sufficienti ha deliberatamente eliminato l'account utente utilizzando gli strumenti di Active Directory o i comandi di PowerShell.
- Scadenza del conto – Se un account utente deve scadere in una data specifica o dopo un certo periodo, può essere eliminato automaticamente dal sistema quando si verifica la condizione di scadenza.
- Pulizia dell'account – Gli account utente a volte possono essere eliminati come parte dei processi di manutenzione ordinaria o di pulizia. Può essere per rimuovere account inattivi o inutilizzati dall'ambiente Active Directory.
- Risoluzione o partenza – Quando un dipendente lascia un'organizzazione, il suo account utente può essere eliminato per revocare l'accesso alle risorse di rete e mantenere la sicurezza.
- Attività dannosa – In sfortunati casi di accesso non autorizzato o tentativi di hacking, un utente malintenzionato con sufficiente i privilegi possono eliminare gli account utente per interrompere le operazioni, coprire le loro tracce o causare danni al organizzazione.
Questi fattori possono variare su computer diversi. Indipendentemente da ciò, discuteremo alcune correzioni di base per risolvere il problema.
Cosa posso fare se vedo l'ID evento 4726?
1. Abilita il controllo utilizzando ADSI Edit
- Premere finestre + R chiavi per aprire il Correre finestra di dialogo, tipo ADSIEdit.msc, e premere accedere per aprire la console ADSI (Active Directory Service Interface)..
- Fare clic con il pulsante destro del mouse su Modifica ADSI opzione in alto a sinistra, quindi selezionare Connettiti a dal menu a discesa.
- Nella finestra Impostazioni connessione, fare clic su Seleziona un contesto di denominazione noto opzione e selezionare Contesto di denominazione predefinito nel menu a discesa, quindi fare clic su OK.
- Espandi il Contesto di denominazione predefinito opzione, fare clic con il tasto destro su DC=www, DC=dominio, DC=come selezionare Proprietà dal menu contestuale.
- Vai al Sicurezza scheda e fare clic Avanzate per aprire il Impostazioni di sicurezza avanzate.
- Seleziona il Revisione scheda e fare clic Aggiungere per aggiungere la voce di controllo per gli utenti di cui si desidera monitorare le azioni.
- Quindi, fare clic su Seleziona un preside opzione.
- Vai al Immettere il nome dell'oggetto ingresso e tipo Tutti, clicca il Controlla i nomi pulsante per verificare il nome, quindi fare clic su OK.
- Sul Voce di revisione finestra, fare clic su Tipo opzione e selezionare Tutto dal menu a tendina.
- Clic Si applica a e selezionare Questo oggetto e tutti gli oggetti discendenti dal menu a tendina.
- Seleziona le caselle per i seguenti elementi: Pieno controllo,Contenuto dell'elenco, Leggi tutte le proprietà, E Permessi di lettura, quindi fare clic su OK pulsante.
- Sul Impostazioni di sicurezza avanzate, clicca il Fare domanda a E OK bottoni.
- Chiudere la finestra Modifica ADSI.
Quando ricevi l'ID evento 4726, devi tenere traccia degli account utente e computer eliminati. Deve essere fatto abilitando il controllo in Active Directory Service Interface (ADSI).
2. Utilizza il Visualizzatore eventi per controllare gli account utente e i computer eliminati in AD
- Fare clic con il pulsante sinistro del mouse Inizio nel menu di Windows, digitare Visualizzatore eventie premere accedere.
- Ora vai a Registri di Windows e seleziona Sicurezza.
- Cerca il ID evento 4726 (ID evento cancellato utente/account AD) e ID evento 4743 (ID evento eliminato account computer) per identificare le eliminazioni di account utente e computer.
- Quindi, scorrere verso il basso per individuare il file account, oggetti computer e account computer cancellato.
Una volta abilitato il controllo, il Visualizzatore eventi registrerà gli oggetti computer e utente eliminati.
- L'unità USB mostra dimensioni errate? Risolvilo in 2 passaggi
- Correzione: non è possibile apportare questa modifica perché la selezione è bloccata
- Correzione: l'integrità della memoria non può essere attivata a causa di Ftdibus.sys
3. Usa PowerShell per rilevare chi ha eliminato l'account
- Fare clic con il pulsante sinistro del mouse su finestre icona, tipo PowerShelle fare clic Esegui come amministratore.
- Quindi, inserire quanto segue e premere accedere:
Get-EventLog -LogName Sicurezza | Where-Object {$_.EventID -eq 4726} | Seleziona-Oggetto -Proprietà *
- Individua l'account utente eliminato in Messaggio > Oggetto. È possibile visualizzare il nome account e l'ID di sicurezza dell'utente che ha eseguito l'eliminazione sull'utente di destinazione.
In conclusione, abbiamo una guida completa su come cancellare il registro eventi su computer Windows. Inoltre, leggi cosa ID evento 4769 è e come risolverlo.
Se hai ulteriori domande o suggerimenti, inseriscili gentilmente nella sezione dei commenti.
Hai ancora problemi? Risolvili con questo strumento:
SPONSORIZZATO
Alcuni problemi relativi ai driver possono essere risolti più rapidamente utilizzando uno strumento dedicato. Se hai ancora problemi con i tuoi driver, basta scaricare DriverFix e farlo funzionare in pochi clic. Dopodiché, lascia che prenda il sopravvento e correggi tutti i tuoi errori in pochissimo tempo!