이벤트 ID 4726: 사용자 계정이 삭제됨 [수정]

이 이벤트 ID를 받으면 ADSI 편집을 사용하여 감사를 활성화합니다.

독자 중 일부는 도메인 컨트롤러에서 Windows 보안 이벤트 4726을 보는 것에 대해 불평합니다. 이벤트 로그에는 사용자 계정이 삭제되었으며 기록된 이벤트에 대한 기타 세부 정보가 표시됩니다. 그러나이 가이드는 이벤트 ID를 수정하는 방법을 안내합니다.

또한 다음에 대해 읽을 수 있습니다. 이벤트 ID 7023 오류 Windows 11에서 이를 해결하기 위한 몇 가지 수정 사항이 있습니다.

이벤트 4726이란 무엇입니까?

이벤트 ID 4726은 사용자 계정 삭제를 나타내는 Windows 보안 이벤트입니다. 이 이벤트가 기록되면 사용자 계정이 Windows Active Directory에서 제거 또는 삭제된 것입니다.

이 이벤트는 일반적으로 Windows 도메인 컨트롤러의 보안 이벤트 로그에 기록됩니다.

이벤트 ID 4726을 모니터링하여 시스템 관리자는 자신의 계정에서 사용자 계정 삭제를 추적할 수 있습니다. Windows 도메인 환경 및 사용자와 관련된 무단 또는 의심스러운 활동을 식별합니다. 계정.

이벤트 ID 4726의 원인은 무엇입니까?

다양한 요인으로 인해 이벤트 ID 4726이 발생할 수 있습니다. 다음은 이 이벤트를 트리거할 수 있는 몇 가지 일반적인 시나리오입니다.

• 행정 조치 – 충분한 권한을 가진 관리자 또는 사용자가 Active Directory 도구 또는 PowerShell 명령을 사용하여 의도적으로 사용자 계정을 삭제했습니다.
• 계정 만료 – 사용자 계정이 특정 날짜 또는 일정 기간 후에 만료되는 경우 만료 조건이 존재할 때 시스템에서 자동으로 삭제할 수 있습니다.
• 계정 정리 – 일상적인 유지 관리 또는 정리 프로세스의 일부로 사용자 계정이 삭제될 수 있습니다. Active Directory 환경에서 비활성 또는 사용하지 않는 계정을 제거하기 위한 것일 수 있습니다.
• 종료 또는 출발 – 직원이 조직을 떠나는 경우 네트워크 리소스에 대한 액세스 권한을 취소하고 보안을 유지하기 위해 해당 사용자 계정을 삭제할 수 있습니다.
• 악의적인 활동 – 불행한 경우 무단 액세스 또는 해킹 시도의 경우 충분한 권한을 가진 공격자 권한은 사용자 계정을 삭제하여 작업을 방해하거나 추적을 숨기거나 해를 입힐 수 있습니다. 조직.

이러한 요소는 컴퓨터마다 다를 수 있습니다. 그럼에도 불구하고 문제를 해결하기 위한 몇 가지 기본적인 수정 사항에 대해 논의할 것입니다.

이벤트 ID 4726이 표시되면 어떻게 해야 합니까?

1. ADSI 편집을 사용하여 감사 활성화

1. 누르다 윈도우 + 아르 자형 열 수 있는 키 달리다 대화 상자, 입력 ADSIEdit.msc, 그리고 누르기 입력하다 ADSI(Active Directory Service Interface) 콘솔을 열려면.
2. 마우스 오른쪽 버튼으로 ADSI 편집 왼쪽 상단의 옵션을 선택한 다음 연결 드롭다운에서
3. 연결 설정 창에서 다음을 클릭합니다. 잘 알려진 이름 지정 컨텍스트 선택 옵션 및 선택 기본 명명 컨텍스트 드롭다운 메뉴에서 좋아요.
4. 확장 기본 명명 컨텍스트 옵션을 마우스 오른쪽 버튼으로 클릭 DC=www, DC=도메인, DC=com, 선택 속성 상황에 맞는 메뉴에서.
5. 로 이동 보안 탭하고 클릭 고급의 를 열려면 고급 보안 설정.
6. 선택 감사 탭하고 클릭 추가하다 작업을 모니터링하려는 사용자에 대한 감사 항목을 추가합니다.
7. 그런 다음 주 구성원 선택 옵션.
   
8. 로 이동 개체 이름 입력 항목 및 유형 모든 사람, 클릭 이름 확인 버튼을 눌러 이름을 확인한 다음 좋아요.
9. 에 감사 항목 창에서 유형 옵션 및 선택 모두 드롭다운 메뉴에서.
10. 딸깍 하는 소리 적용 선택 이 개체 및 모든 하위 개체 드롭다운 메뉴에서.
11. 다음 항목에 대한 상자를 선택하십시오. 완전한 통제하에있는,콘텐츠 나열, 모든 속성 읽기, 그리고 읽기 권한을 클릭한 다음 좋아요 단추.
12. 에 고급 보안 설정, 클릭 적용하다 그리고 좋아요 버튼.
13. ADSI 편집 창을 닫습니다.

이벤트 ID 4726을 받으면 삭제된 사용자 및 컴퓨터 계정을 추적해야 합니다. ADSI(Active Directory Service Interface)에서 감사를 활성화하여 수행해야 합니다.

2. 이벤트 뷰어를 사용하여 AD에서 삭제된 사용자 계정 및 컴퓨터 확인

1. 왼쪽 클릭 시작 Windows 메뉴에서 다음을 입력합니다. 이벤트 뷰어을 누르고 입력하다.
2. 지금, 이동 Windows 로그 그리고 선택 보안.
3. 검색 이벤트 ID 4726 (AD 사용자/계정 삭제 이벤트 ID) 및 이벤트 ID 4743 (컴퓨터 계정 삭제 이벤트 ID) 사용자 및 컴퓨터 계정 삭제를 식별합니다.
4. 그런 다음 아래로 스크롤하여 계정, 컴퓨터 개체 및 컴퓨터 계정 삭제되었습니다.

감사를 활성화하면 이벤트 뷰어가 삭제된 컴퓨터 및 사용자 개체를 기록합니다.

이 주제에 대해 자세히 알아보기

• USB 드라이브가 잘못된 크기를 표시합니까? 2단계로 수정
• 수정: 선택이 잠겨 있기 때문에 이 변경을 수행할 수 없습니다.
• 수정: Ftdibus.sys로 인해 메모리 무결성을 켤 수 없음

3. PowerShell을 사용하여 누가 계정을 삭제했는지 감지

1. 왼쪽 클릭 윈도우 아이콘, 유형 파워셸을 클릭하고 관리자로 실행하십시오.
2. 그런 다음 다음을 입력하고 누르십시오. 입력하다: Get-EventLog -LogName 보안 | Where-객체 {$_.EventID -eq 4726} | 개체 선택 -속성 *
3. 아래에서 삭제된 사용자 계정을 찾습니다. 메시지 > 제목. 대상 사용자에 대해 삭제를 수행한 사용자의 계정 이름 및 보안 ID를 볼 수 있습니다.

결론적으로, 우리는 방법에 대한 포괄적인 가이드를 가지고 있습니다 이벤트 로그 지우기 Windows 컴퓨터에서. 또한 무엇에 대해 읽으십시오. 이벤트 ID 4769 이며 해결 방법입니다.

추가 질문이나 제안 사항이 있으면 댓글 섹션에 남겨주세요.