אפשר ביקורת באמצעות עריכת ADSI כאשר אתה מקבל מזהה אירוע זה
- מזהה האירוע 4726 מציין שחשבון משתמש נמחק מהמחשב.
- אתה לא צריך להיבהל אם מזהה האירוע הזה מופיע אלא אם השינויים בוצעו על ידי צד שלישי.
איקסהתקן על ידי לחיצה על הורד את הקובץ
- הורד את DriverFix (קובץ הורדה מאומת).
- נְקִישָׁה התחל סריקה כדי למצוא את כל הדרייברים הבעייתיים.
- נְקִישָׁה עדכן דרייברים כדי לקבל גרסאות חדשות ולהימנע מתקלות במערכת.
- DriverFix הורד על ידי 0 הקוראים החודש.
חלק מהקוראים שלנו מתלוננים על כך שראו את אירוע האבטחה של Windows 4726 בבקר התחום. יומן האירועים מציין שחשבון משתמש נמחק ופרטים נוספים על האירוע שהוקלט. עם זאת, מדריך זה יעביר אותך כיצד לתקן את מזהה האירוע.
כמו כן, אתה יכול לקרוא על שגיאת מזהה אירוע 7023 וכמה תיקונים כדי לפתור את זה ב-Windows 11.
מה זה אירוע 4726?
מזהה אירוע 4726 הוא אירוע אבטחה של Windows המציין מחיקה של חשבון משתמש. כאשר אירוע זה נרשם, חשבון משתמש הוסר או נמחק מ-Windows Active Directory.
אירוע זה מתועד בדרך כלל ביומן אירועי האבטחה בבקר תחום של Windows.
על ידי ניטור מזהה אירוע 4726, מנהלי מערכת יכולים לעקוב אחר מחיקות חשבונות המשתמש שלהם סביבת התחום של Windows ולזהות כל פעילות לא מורשית או חשודה הקשורה למשתמש חשבונות.
מה גורם לזיהוי האירוע 4726?
גורמים שונים יכולים לגרום לאירוע מזהה 4726. הנה כמה תרחישים נפוצים שעשויים להפעיל אירוע זה:
- פעולה מנהלית – מנהל מערכת או משתמש עם הרשאות מספיקות מחק את חשבון המשתמש בכוונה באמצעות כלי Active Directory או פקודות PowerShell.
- תפוגה של חשבון – אם חשבון משתמש אמור לפוג בתאריך מסוים או לאחר תקופה מסוימת, ניתן למחוק אותו אוטומטית על ידי המערכת כאשר תנאי התפוגה קיים.
- ניקוי חשבון – חשבונות משתמש עשויים להימחק לעיתים כחלק מתהליך תחזוקה או ניקיון שוטף. זה יכול להיות להסרת חשבונות לא פעילים או שאינם בשימוש מסביבת Active Directory.
- סיום או עזיבה - כאשר עובד עוזב ארגון, ייתכן שחשבון המשתמש שלו יימחק כדי לבטל את הגישה למשאבי הרשת ולשמור על אבטחה.
- פעילות זדונית – במקרים מצערים של גישה לא מורשית או ניסיונות פריצה, תוקף עם מספיק הרשאות עשויות למחוק חשבונות משתמש כדי לשבש פעולות, לכסות את עקבותיהם או לגרום נזק ל אִרגוּן.
גורמים אלה יכולים להשתנות במחשבים שונים. בלי קשר, נדון בכמה תיקונים בסיסיים כדי לפתור את הבעיה.
מה אוכל לעשות אם אני רואה את מזהה האירוע 4726?
1. אפשר ביקורת באמצעות עריכת ADSI
- ללחוץ חלונות + ר מפתחות לפתיחת לָרוּץ תיבת דו-שיח, הקלד ADSIEdit.msc, ולחץ להיכנס כדי לפתוח את מסוף השירות של Active Directory (ADSI)..
- לחץ לחיצה ימנית על עריכת ADSI אפשרות בצד שמאל למעלה, ולאחר מכן בחר להתחבר ל מהתפריט הנפתח.
- בחלון הגדרות חיבור, לחץ על בחר הקשר שמות ידוע אפשרות ובחר ברירת המחדל של הקשר שמות בתפריט הנפתח ולאחר מכן לחץ בסדר.
- הרחב את ה ברירת המחדל של הקשר שמות אפשרות, לחץ לחיצה ימנית על DC=www, DC=domain, DC=com, ובחר נכסים מתפריט ההקשר.
- עבור אל בִּטָחוֹן לשונית ולחץ מִתקַדֵם כדי לפתוח את הגדרות אבטחה מתקדמות.
- בחר את ביקורת לשונית ולחץ לְהוֹסִיף כדי להוסיף את ערך הביקורת עבור המשתמשים שברצונך לעקוב אחר פעולותיהם.
- לאחר מכן, לחץ על בחר מנהל אוֹפְּצִיָה.
- עבור אל הזן שם אובייקט כניסה וסוג כל אחד, לחץ על בדוק שמות לחצן כדי לאמת את השם ולאחר מכן לחץ בסדר.
- על ערך ביקורת חלון, לחץ על סוּג אפשרות ובחר את כל מהתפריט הנפתח.
- נְקִישָׁה חל אל ובחר החפץ הזה וכל החפצים הצאצאים מהתפריט הנפתח.
- סמן את התיבות עבור הפריטים הבאים: שליטה מלאה,רשימת תוכן, קרא את כל המאפיינים, ו הרשאות קריאה, ולאחר מכן לחץ על בסדר לַחְצָן.
- על הגדרות אבטחה מתקדמות, לחץ על להגיש מועמדות ו בסדר כפתורים.
- סגור את חלון עריכת ADSI.
כאשר אתה מקבל את מזהה האירוע 4726, עליך לעקוב אחר חשבונות המשתמש והמחשב שנמחקו. יש לעשות זאת על ידי הפעלת הביקורת בממשק Active Directory Service (ADSI).
2. השתמש במציג האירועים כדי לבדוק חשבונות משתמש ומחשבים שנמחקו ב-AD
- לחיצה שמאלית הַתחָלָה בתפריט Windows, הקלד צופה באירועים, ולחץ להיכנס.
- עכשיו, עבור אל יומני Windows ובחר בִּטָחוֹן.
- חפש את ה מזהה אירוע 4726 (זיהוי אירוע של משתמש/חשבון AD נמחק) ו מזהה אירוע 4743 (מזהה אירוע נמחק בחשבון המחשב) כדי לזהות את מחיקת המשתמש וחשבון המחשב.
- לאחר מכן, גלול מטה כדי לאתר את חשבונות, אובייקטי מחשב וחשבונות מחשב נמחק.
לאחר שהפעלת ביקורת, מציג האירועים ירשום אובייקטי מחשב ומשתמש שנמחקו.
- כונן USB מציג גודל שגוי? תקן את זה ב-2 שלבים
- תיקון: אינך יכול לבצע את השינוי הזה מכיוון שהבחירה נעולה
- תיקון: לא ניתן להפעיל את שלמות הזיכרון עקב Ftdibus.sys
3. השתמש ב- PowerShell כדי לזהות מי מחק את החשבון
- לחץ לחיצה ימנית על חלונות סמל, הקלד פגז כוח, ולחץ הפעל כמנהל.
- לאחר מכן, הזן את הדברים הבאים ולחץ להיכנס:
Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4726} | בחר-אובייקט -נכס *
- אתר את חשבון המשתמש שנמחק תחת הודעה > נושא. ניתן לראות את שם החשבון ומזהה האבטחה של המשתמש שביצע את המחיקה על משתמש היעד.
לסיכום, יש לנו מדריך מקיף כיצד לעשות זאת נקה את יומן האירועים במחשבי Windows. כמו כן, קרא על מה מזהה אירוע 4769 הוא וכיצד לתקן את זה.
אם יש לך שאלות או הצעות נוספות, אנא השאירו אותן בקטע ההערות.
עדיין יש בעיות? תקן אותם עם הכלי הזה:
ממומן
ניתן לפתור כמה בעיות הקשורות לנהגים מהר יותר באמצעות כלי ייעודי. אם אתה עדיין נתקל בבעיות עם הדרייברים שלך, פשוט הורד DriverFix ולהפעיל אותו בכמה קליקים. לאחר מכן, תן לזה להשתלט ותקן את כל השגיאות שלך תוך זמן קצר!