Notikuma ID 4726: lietotāja konts tika dzēsts [Labot]

Iespējojiet auditēšanu, izmantojot ADSI rediģēšanu, kad saņemat šo notikuma ID

Daži mūsu lasītāji sūdzas par Windows drošības notikumu 4726 redzēšanu domēna kontrollerī. Notikumu žurnālā ir norādīts, ka lietotāja konts ir izdzēsts, un cita informācija par ierakstīto notikumu. Tomēr šajā rokasgrāmatā būs sniegta informācija par to, kā labot notikuma ID.

Varat arī lasīt par notikuma ID 7023 kļūda un daži labojumi, lai to atrisinātu operētājsistēmā Windows 11.

Kas ir notikums 4726?

Notikuma ID 4726 ir Windows drošības notikums, kas norāda uz lietotāja konta dzēšanu. Kad šis notikums ir reģistrēts, lietotāja konts tika noņemts vai izdzēsts no Windows Active Directory.

Šis notikums parasti tiek ierakstīts Windows domēna kontrollera drošības notikumu žurnālā.

Pārraugot notikuma ID 4726, sistēmas administratori var sekot līdzi lietotāju kontu dzēšanai savās sistēmās Windows domēna vidi un identificēt visas ar lietotāju saistītas neatļautas vai aizdomīgas darbības konti.

Kas izraisa notikuma ID 4726?

Notikuma ID 4726 var izraisīt dažādi faktori. Tālāk ir norādīti daži izplatīti scenāriji, kas var izraisīt šo notikumu.

• Administratīvā darbība – Administrators vai lietotājs ar pietiekamām privilēģijām apzināti izdzēsa lietotāja kontu, izmantojot Active Directory rīkus vai PowerShell komandas.
• Konta derīguma termiņš – Ja lietotāja kontam ir jābeidzas noteiktā datumā vai pēc noteikta laika, sistēma to var automātiski dzēst, kad pastāv derīguma termiņš.
• Konta tīrīšana – Lietotāju konti dažkārt var tikt dzēsti kā daļa no ikdienas apkopes vai tīrīšanas procesa. Tas var būt neaktīvo vai neizmantoto kontu noņemšanai no Active Directory vides.
• Pārtraukšana vai aiziešana – Kad darbinieks atstāj organizāciju, viņa lietotāja konts var tikt izdzēsts, lai atsauktu piekļuvi tīkla resursiem un uzturētu drošību.
• Ļaunprātīga darbība – Neveiksmīgos nesankcionētas piekļuves vai uzlaušanas mēģinājumu gadījumos uzbrucējs ar pietiekamu privilēģijas var dzēst lietotāju kontus, lai traucētu darbību, aizsegtu to pēdas vai nodarītu kaitējumu organizācija.

Šie faktori dažādos datoros var atšķirties. Neatkarīgi no tā, mēs apspriedīsim dažus pamata labojumus, lai atrisinātu problēmu.

Ko darīt, ja redzu notikuma ID 4726?

1. Iespējojiet auditēšanu, izmantojot ADSI rediģēšanu

1. Nospiediet Windows + R taustiņi, lai atvērtu Skrien dialoglodziņš, ierakstiet ADSIEdit.msc, un nospiediet Ievadiet lai atvērtu Active Directory Service Interface (ADSI) konsoli.
2. Ar peles labo pogu noklikšķiniet uz ADSI rediģēšana opciju augšējā kreisajā pusē, pēc tam atlasiet Pievienot no nolaižamās izvēlnes.
3. Logā Savienojuma iestatījumi noklikšķiniet uz Atlasiet labi zināmu nosaukumu kontekstu opciju un atlasiet Noklusējuma nosaukumu konteksts nolaižamajā izvēlnē, pēc tam noklikšķiniet uz labi.
4. Paplašiniet Noklusējuma nosaukumu konteksts opciju, ar peles labo pogu noklikšķiniet uz DC=www, DC=domēns, DC=comun atlasiet Īpašības no konteksta izvēlnes.
5. Dodieties uz Drošība cilni un noklikšķiniet Papildu lai atvērtu Papildu drošības iestatījumi.
6. Izvēlieties Auditēšana cilni un noklikšķiniet Pievienot lai pievienotu auditēšanas ierakstu lietotājiem, kuru darbības vēlaties pārraudzīt.
7. Pēc tam noklikšķiniet uz Izvēlieties direktoru opciju.
   
8. Dodieties uz Ievadiet objekta nosaukumu ieraksts un veids Visi, noklikšķiniet uz Pārbaudiet vārdus pogu, lai pārbaudītu vārdu, pēc tam noklikšķiniet uz labi.
9. Uz Revīzijas ieraksts logā noklikšķiniet uz Tips opciju un atlasiet Visi no nolaižamās izvēlnes.
10. Klikšķis Attiecas uz un atlasiet Šis objekts un visi pēcnācēji objekti no nolaižamās izvēlnes.
11. Atzīmējiet izvēles rūtiņas šādiem vienumiem: Pilnīga kontrole,Saraksta saturs, Izlasiet visus rekvizītus, un Lasīšanas atļaujas, pēc tam noklikšķiniet uz labi pogu.
12. Uz Papildu drošības iestatījumi, noklikšķiniet uz Pieteikties un labi pogas.
13. Aizveriet ADSI rediģēšanas logu.

Kad saņemat notikuma ID 4726, jums ir jāizseko izdzēstie lietotāju un datora konti. Tas ir jādara, iespējojot auditēšanu Active Directory pakalpojuma saskarnē (ADSI).

2. Izmantojiet notikumu skatītāju, lai pārbaudītu AD izdzēstos lietotāju kontus un datorus

1. Noklikšķiniet ar peles kreiso taustiņu Sākt Windows izvēlnē ierakstiet Notikumu skatītājsun nospiediet Ievadiet.
2. Tagad dodieties uz Windows žurnāli un atlasiet Drošība.
3. Meklēt notikuma ID 4726 (AD lietotāja/konta izdzēstā notikuma ID) un notikuma ID 4743 (Datora konta izdzēstā notikuma ID), lai identificētu lietotāju un datora konta dzēšanu.
4. Pēc tam ritiniet uz leju, lai atrastu konti, datoru objekti un datoru konti dzēsts.

Kad būsiet iespējojis auditēšanu, notikumu skatītājs reģistrēs dzēstos datora un lietotāja objektus.

Lasiet vairāk par šo tēmu

• USB disks rāda nepareizu izmēru? Labojiet to 2 soļos
• Labojums: jūs nevarat veikt šīs izmaiņas, jo atlase ir bloķēta
• Labojums: Atmiņas integritāti nevar ieslēgt Ftdibus.sys dēļ

3. Izmantojiet PowerShell, lai noteiktu, kurš ir izdzēsis kontu

1. Ar peles kreiso taustiņu noklikšķiniet uz Windows ikona, veids PowerShellun noklikšķiniet uz Izpildīt kā administratoram.
2. Pēc tam ievadiet tālāk norādīto un nospiediet Ievadiet: Get-EventLog -LogName Drošība | Kur-Objekts {$_.EventID -eq 4726} | Atlasīt-Objekts-Īpašums*
3. Sadaļā atrodiet izdzēsto lietotāja kontu Ziņa > Tēma. Var redzēt tā lietotāja konta nosaukumu un drošības ID, kurš veica dzēšanu mērķa lietotājam.

Noslēgumā mums ir visaptverošs ceļvedis, kā to izdarīt notīriet notikumu žurnālu Windows datoros. Lasiet arī par to, ko notikuma ID 4769 ir un kā to labot.

Ja jums ir papildu jautājumi vai ieteikumi, lūdzu, ierakstiet tos komentāru sadaļā.