მოვლენის ID 4726: მომხმარებლის ანგარიში წაიშალა [შესწორება]

ჩართეთ აუდიტი ADSI Edit-ის გამოყენებით, როდესაც მიიღებთ ამ მოვლენის ID-ს

ზოგიერთი ჩვენი მკითხველი უჩივის Windows უსაფრთხოების მოვლენის 4726 ხილვას დომენის კონტროლერში. მოვლენის ჟურნალი მიუთითებს მომხმარებლის ანგარიშის წაშლაზე და სხვა დეტალებზე ჩაწერილი მოვლენის შესახებ. თუმცა, ეს სახელმძღვანელო გაგაცნობთ, თუ როგორ უნდა დააფიქსიროთ მოვლენის ID.

ასევე, შეგიძლიათ წაიკითხოთ ამის შესახებ მოვლენის ID 7023 შეცდომა და რამდენიმე გამოსწორება Windows 11-ზე მის მოსაგვარებლად.

რა არის მოვლენა 4726?

მოვლენის ID 4726 არის Windows უსაფრთხოების ღონისძიება, რომელიც მიუთითებს მომხმარებლის ანგარიშის წაშლაზე. ამ მოვლენის შესვლისას მომხმარებლის ანგარიში წაიშალა ან წაიშალა Windows Active Directory-დან.

ეს მოვლენა ჩვეულებრივ ჩაიწერება უსაფრთხოების ღონისძიებების ჟურნალში Windows დომენის კონტროლერზე.

მოვლენის ID 4726-ის მონიტორინგით, სისტემის ადმინისტრატორებს შეუძლიათ თვალყური ადევნონ მომხმარებლის ანგარიშის წაშლას Windows დომენის გარემო და იდენტიფიცირება ნებისმიერი არაავტორიზებული ან საეჭვო ქმედებები, რომლებიც დაკავშირებულია მომხმარებელთან ანგარიშები.

რა იწვევს მოვლენის ID 4726?

სხვადასხვა ფაქტორმა შეიძლება გამოიწვიოს მოვლენის ID 4726. აქ არის რამდენიმე გავრცელებული სცენარი, რამაც შეიძლება გამოიწვიოს ეს მოვლენა:

• ადმინისტრაციული მოქმედება – საკმარისი პრივილეგიების მქონე ადმინისტრატორმა ან მომხმარებელმა განზრახ წაშალა მომხმარებლის ანგარიში Active Directory ინსტრუმენტების ან PowerShell ბრძანებების გამოყენებით.
• ანგარიშის ვადის გასვლა – თუ მომხმარებლის ანგარიშის ვადა ამოიწურება კონკრეტულ თარიღში ან გარკვეული პერიოდის შემდეგ, ის შეიძლება ავტომატურად წაიშალოს სისტემის მიერ, როდესაც არსებობს ვადის გასვლის პირობა.
• ანგარიშის გასუფთავება – მომხმარებლის ანგარიშები შეიძლება ზოგჯერ წაიშალოს, როგორც რუტინული მოვლის ან გაწმენდის პროცესების ნაწილი. ეს შეიძლება იყოს არააქტიური ან გამოუყენებელი ანგარიშების ამოსაღებად Active Directory გარემოდან.
• შეწყვეტა ან გამგზავრება – როდესაც თანამშრომელი ტოვებს ორგანიზაციას, მისი მომხმარებლის ანგარიში შეიძლება წაიშალოს ქსელის რესურსებზე წვდომის გასაუქმებლად და უსაფრთხოების შესანარჩუნებლად.
• მავნე აქტივობა – არაავტორიზებული წვდომის ან ჰაკერების მცდელობის სამწუხარო შემთხვევებში, თავდამსხმელი საკმარისია პრივილეგიებმა შეიძლება წაშალოს მომხმარებლის ანგარიშები ოპერაციების ჩაშლის მიზნით, მათი კვალის დასაფარად ან ზიანის მიყენების მიზნით ორგანიზაცია.

ეს ფაქტორები შეიძლება განსხვავდებოდეს სხვადასხვა კომპიუტერზე. მიუხედავად ამისა, ჩვენ განვიხილავთ რამდენიმე ძირითად გამოსწორებას პრობლემის გადასაჭრელად.

რა გავაკეთო, თუ დავინახავ მოვლენის ID 4726?

1. აუდიტის ჩართვა ADSI Edit-ის გამოყენებით

1. დაჭერა ფანჯრები + რ გასაღებები გასახსნელად გაიქეცი დიალოგური ფანჯარა, აკრიფეთ ADSIEdit.msc, და დააჭირეთ შედი Active Directory Service Interface (ADSI) კონსოლის გასახსნელად.
2. დააწკაპუნეთ მარჯვენა ღილაკით ADSI რედაქტირება ვარიანტი ზედა მარცხენა მხარეს, შემდეგ აირჩიეთ Დაკავშირება ჩამოსაშლელიდან.
3. კავშირის პარამეტრების ფანჯარაში დააწკაპუნეთ აირჩიეთ სახელების ცნობილი კონტექსტი ვარიანტი და აირჩიეთ ნაგულისხმევი დასახელების კონტექსტი ჩამოსაშლელ მენიუში, შემდეგ დააწკაპუნეთ კარგი.
4. გააფართოვეთ ნაგულისხმევი დასახელების კონტექსტი ვარიანტი, დააწკაპუნეთ მარჯვენა ღილაკით DC=www, DC=დომენი, DC=comდა აირჩიეთ Თვისებები კონტექსტური მენიუდან.
5. გადადით უსაფრთხოება ჩანართი და დააწკაპუნეთ Მოწინავე გასახსნელად უსაფრთხოების გაფართოებული პარამეტრები.
6. აირჩიეთ აუდიტი ჩანართი და დააწკაპუნეთ დამატება აუდიტის ჩანაწერის დასამატებლად იმ მომხმარებლებისთვის, რომელთა მოქმედებების მონიტორინგიც გსურთ.
7. შემდეგ, დააწკაპუნეთ აირჩიეთ მთავარი ვარიანტი.
   
8. გადადით შეიყვანეთ ობიექტის სახელი შესვლა და ტიპი ყველას, დააწკაპუნეთ შეამოწმეთ სახელები ღილაკს სახელის დასადასტურებლად, შემდეგ დააწკაპუნეთ კარგი.
9. Ზე აუდიტის ჩანაწერი ფანჯარა, დააწკაპუნეთ ტიპი ვარიანტი და აირჩიეთ ყველა ჩამოსაშლელი მენიუდან.
10. დააწკაპუნეთ ვრცელდება და აირჩიეთ ეს ობიექტი და ყველა შთამომავალი ობიექტი ჩამოსაშლელი მენიუდან.
11. შეამოწმეთ ყუთები შემდეგი ნივთებისთვის: სრული კონტროლი,ჩამოთვალეთ შინაარსი, წაიკითხეთ ყველა თვისება, და წაიკითხეთ ნებართვები, შემდეგ დააწკაპუნეთ კარგი ღილაკი.
12. Ზე უსაფრთხოების გაფართოებული პარამეტრები, დააწკაპუნეთ მიმართეთ და კარგი ღილაკები.
13. დახურეთ ADSI რედაქტირების ფანჯარა.

როდესაც მიიღებთ მოვლენის ID 4726-ს, თქვენ უნდა აკონტროლოთ წაშლილი მომხმარებლის და კომპიუტერის ანგარიშები. ეს უნდა გაკეთდეს Active Directory Service Interface-ში (ADSI) აუდიტის ჩართვით.

2. გამოიყენეთ Event Viewer, რათა შეამოწმოთ წაშლილი მომხმარებლის ანგარიშები და კომპიუტერები AD-ში

1. დააწკაპუნეთ მარცხნივ დაწყება Windows მენიუში აკრიფეთ ღონისძიების მაყურებელიდა დააჭირეთ შედი.
2. ახლა, გადადით Windows ჟურნალები და აირჩიეთ უსაფრთხოება.
3. ძიება მოვლენის ID 4726 (AD მომხმარებლის/ანგარიშის წაშლილი მოვლენის ID) და მოვლენის ID 4743 (კომპიუტერის ანგარიშის წაშლილი მოვლენის ID) მომხმარებლისა და კომპიუტერის ანგარიშის წაშლის იდენტიფიცირებისთვის.
4. შემდეგ, გადაახვიეთ ქვემოთ, რომ იპოვოთ ანგარიშები, კომპიუტერული ობიექტები და კომპიუტერული ანგარიშები წაშლილია.

აუდიტის ჩართვის შემდეგ, Event Viewer ჩაიწერს წაშლილ კომპიუტერს და მომხმარებლის ობიექტებს.

წაიკითხეთ მეტი ამ თემის შესახებ

• USB დისკი აჩვენებს არასწორ ზომას? გაასწორეთ 2 ნაბიჯით
• შესწორება: თქვენ არ შეგიძლიათ ამ ცვლილების განხორციელება, რადგან არჩევანი დაბლოკილია
• შესწორება: მეხსიერების მთლიანობის ჩართვა Ftdibus.sys-ის გამო ვერ ხერხდება

3. გამოიყენეთ PowerShell იმის დასადგენად, თუ ვინ წაშალა ანგარიში

1. დააწკაპუნეთ მარცხნივ ფანჯრები ხატი, ტიპი PowerShellდა დააწკაპუნეთ Ადმინისტრატორის სახელით გაშვება.
2. შემდეგ შეიყვანეთ შემდეგი და დააჭირეთ შედი: Get-EventLog -LogName უსაფრთხოება | Where-Object {$_.EventID -eq 4726} | Select-Object -Property *
3. იპოვნეთ წაშლილი მომხმარებლის ანგარიში ქვემოთ შეტყობინება > თემა. მომხმარებლის ანგარიშის სახელი და უსაფრთხოების ID, რომელმაც შეასრულა წაშლა სამიზნე მომხმარებელზე, ჩანს.

დასასრულს, ჩვენ გვაქვს ყოვლისმომცველი სახელმძღვანელო, თუ როგორ მოვლენის ჟურნალის გასუფთავება ვინდოუსის კომპიუტერებზე. ასევე წაიკითხეთ რა მოვლენის ID 4769 არის და როგორ გავასწორო.

თუ თქვენ გაქვთ დამატებითი შეკითხვები ან წინადადებები, გთხოვთ, გამოაგზავნოთ ისინი კომენტარების განყოფილებაში.