Gebeurtenis-ID 4726: een gebruikersaccount is verwijderd [repareren]

Schakel auditing in met behulp van ADSI Edit wanneer u deze gebeurtenis-ID krijgt

  • De gebeurtenis-ID 4726 geeft aan dat een gebruikersaccount van de computer is verwijderd.
  • U hoeft zich geen zorgen te maken als deze gebeurtenis-ID verschijnt, tenzij de wijzigingen zijn aangebracht door een derde partij.
gebeurtenis-ID 4726

XINSTALLEREN DOOR OP HET DOWNLOADBESTAND TE KLIKKEN

Om verschillende pc-problemen op te lossen, raden we DriverFix aan:Deze software zorgt ervoor dat uw stuurprogramma's actief blijven en beschermt u zo tegen veelvoorkomende computerfouten en hardwarestoringen. Controleer nu al uw chauffeurs in 3 eenvoudige stappen:
  1. DriverFix downloaden (geverifieerd downloadbestand).
  2. Klik Start scan om alle problematische stuurprogramma's te vinden.
  3. Klik Stuurprogramma's bijwerken om nieuwe versies te krijgen en systeemstoringen te voorkomen.
  • DriverFix is ​​gedownload door 0 lezers deze maand.

Sommige van onze lezers klagen over het zien van de Windows-beveiligingsgebeurtenis 4726 in de domeincontroller. Het gebeurtenislogboek geeft aan dat er een gebruikersaccount is verwijderd en andere details over de geregistreerde gebeurtenis. In deze handleiding wordt echter uitgelegd hoe u de gebeurtenis-ID kunt herstellen.

Ook kunt u lezen over de gebeurtenis-ID 7023-fout en enkele oplossingen om het op te lossen op Windows 11.

Wat is gebeurtenis 4726?

Gebeurtenis-ID 4726 is een Windows-beveiligingsgebeurtenis die de verwijdering van een gebruikersaccount aangeeft. Wanneer deze gebeurtenis wordt geregistreerd, is een gebruikersaccount verwijderd of verwijderd uit de Windows Active Directory.

Deze gebeurtenis wordt doorgaans vastgelegd in het beveiligingsgebeurtenislogboek op een Windows-domeincontroller.

Door gebeurtenis-ID 4726 te bewaken, kunnen systeembeheerders het verwijderen van gebruikersaccounts in hun Windows-domeinomgeving en identificeer ongeautoriseerde of verdachte activiteiten met betrekking tot de gebruiker rekeningen.

Wat veroorzaakt de gebeurtenis-ID 4726?

Verschillende factoren kunnen gebeurtenis-ID 4726 veroorzaken. Hier volgen enkele veelvoorkomende scenario's die deze gebeurtenis kunnen activeren:

  • Administratieve actie – Een beheerder of gebruiker met voldoende rechten heeft het gebruikersaccount opzettelijk verwijderd met behulp van Active Directory-tools of PowerShell-opdrachten.
  • Account vervalt – Als een gebruikersaccount op een bepaalde datum of na een bepaalde periode vervalt, kan het automatisch door het systeem worden verwijderd wanneer de vervalvoorwaarde bestaat.
  • Account opschonen – Gebruikersaccounts kunnen soms worden verwijderd als onderdeel van routinematig onderhoud of opschoning. Dit kan zijn voor het verwijderen van inactieve of ongebruikte accounts uit de Active Directory-omgeving.
  • Beëindiging of vertrek – Wanneer een werknemer een organisatie verlaat, kan zijn gebruikersaccount worden verwijderd om de toegang tot netwerkbronnen in te trekken en de beveiliging te behouden.
  • Schadelijke activiteit – In ongelukkige gevallen van ongeoorloofde toegang of hackpogingen heeft een aanvaller voldoende privileges kunnen gebruikersaccounts verwijderen om operaties te verstoren, hun sporen uit te wissen of schade toe te brengen aan de organisatie.

Deze factoren kunnen variëren op verschillende computers. Hoe dan ook, we zullen enkele basisoplossingen bespreken om het probleem op te lossen.

Wat kan ik doen als ik gebeurtenis-ID 4726 zie?

1. Schakel auditing in met ADSI Edit

  1. druk op ramen + R toetsen om de Loop dialoogvenster, typ ADSIEdit.msc, en druk op Binnenkomen om de ADSI-console (Active Directory Service Interface) te openen.
  2. Klik met de rechtermuisknop op de ADSI-bewerking optie in de linkerbovenhoek en selecteer vervolgens Verbinden aan uit de vervolgkeuzelijst.
  3. Klik in het venster Verbindingsinstellingen op de Selecteer een bekende naamgevingscontext optie en selecteer Standaard naamgevingscontext in het vervolgkeuzemenu en klik vervolgens op OK.
  4. Vouw de Standaard naamgevingscontext optie, klik met de rechtermuisknop op DC=www, DC=domein, DC=comen selecteer Eigenschappen vanuit het contextmenu.
  5. Ga naar de Beveiliging tabblad en klik Geavanceerd om de te openen Geavanceerde beveiligingsinstellingen.
  6. Selecteer de Auditing tabblad en klik Toevoegen om de controlevermelding toe te voegen voor de gebruikers van wie u de acties wilt controleren.
  7. Klik vervolgens op de Selecteer een opdrachtgever keuze.
  8. Ga naar de Voer de objectnaam in invoeren en typen Iedereen, Klik op de Controleer Namen om de naam te verifiëren en klik vervolgens op OK.
  9. Op de Invoer controleren venster, klik op de Type optie en selecteer Alle uit het vervolgkeuzemenu.
  10. Klik Is van toepassing naar en selecteer Dit object en alle onderliggende objecten uit het vervolgkeuzemenu.
  11. Vink de vakjes aan voor de volgende items: Volledige controle,Lijst inhoud, Lees alle eigenschappen, En Machtigingen lezenen klik vervolgens op de OK knop.
  12. Op de Geavanceerde beveiligingsinstellingen, Klik op de Toepassen En OK toetsen.
  13. Sluit het ADSI Edit-venster.

Wanneer u gebeurtenis-ID 4726 krijgt, moet u de verwijderde gebruikers- en computeraccounts bijhouden. Dit moet worden gedaan door de auditing in Active Directory Service Interface (ADSI) in te schakelen.

2. Gebruik Event Viewer om verwijderde gebruikersaccounts en computers in AD te controleren

  1. Links klikken Begin typ in het Windows-menu Gebeurtenisvieweren druk op Binnenkomen.
  2. Ga nu naar Windows-logboeken en selecteer Beveiliging.
  3. Zoek naar de gebeurtenis-ID 4726 (AD-gebruiker/account verwijderde gebeurtenis-ID) en gebeurtenis-ID 4743 (Gebeurtenis-ID computeraccount verwijderd) om de verwijderingen van gebruikers en computeraccounts te identificeren.
  4. Blader vervolgens naar beneden om het te vinden accounts, computerobjecten en computeraccounts verwijderd.

Nadat u auditing hebt ingeschakeld, registreert Logboeken verwijderde computer- en gebruikersobjecten.

Lees meer over dit onderwerp
  • USB-drive geeft verkeerde grootte weer? Repareer het in 2 stappen
  • Oplossing: u kunt deze wijziging niet aanbrengen omdat de selectie is vergrendeld
  • Oplossing: Geheugenintegriteit kan niet worden ingeschakeld vanwege Ftdibus.sys

3. Gebruik PowerShell om te detecteren wie het account heeft verwijderd

  1. Klik met de linkermuisknop op de ramen pictogram, type PowerShellen klik Als administrator uitvoeren.
  2. Voer vervolgens het volgende in en druk op Binnenkomen: Get-EventLog -LogName Beveiliging | Where-Object {$_.EventID -eq 4726} | Selecteer-Object-Eigenschap *
  3. Zoek het verwijderde gebruikersaccount onder Bericht > Onderwerp. De accountnaam en het beveiligings-ID van de gebruiker die de verwijdering van de doelgebruiker heeft uitgevoerd, zijn zichtbaar.

Tot slot hebben we een uitgebreide gids over hoe het gebeurtenislogboek wissen op Windows-computers. Lees ook waarover gebeurtenis-ID 4769 is en hoe dit te verhelpen.

Als u nog vragen of suggesties heeft, kunt u deze plaatsen in het opmerkingengedeelte.

Nog steeds problemen? Repareer ze met deze tool:

GESPONSORD

Sommige problemen met stuurprogramma's kunnen sneller worden opgelost door een speciale tool te gebruiken. Als u nog steeds problemen heeft met uw stuurprogramma's, hoeft u alleen maar te downloaden DriverFix en zet het in een paar klikken aan de gang. Laat het daarna overnemen en herstel al uw fouten in een mum van tijd!

Gebeurtenis-ID 5137: er is een directoryserviceobject gemaakt [repareren]

Gebeurtenis-ID 5137: er is een directoryserviceobject gemaakt [repareren]Evenement KijkerEvent Log Kijkers

Ontdek de eenvoudigste methoden om gebeurtenis-ID 5137 op te lossenGebeurtenis-ID 5137 kan duiden op een normale en legitieme aanmaak van een Directory Service-object. Deze gebeurtenis kan zijn vas...

Lees verder
Gebeurtenis-ID 7045: er is een service in het systeem geïnstalleerd [repareren]

Gebeurtenis-ID 7045: er is een service in het systeem geïnstalleerd [repareren]Evenement Kijker

Het verwijderen van de nieuw geïnstalleerde service zou dit probleem moeten oplossenAls u de melding Gebeurtenis-ID 7045 krijgt, komt dat omdat een systeem een ​​service op uw server heeft geïnstal...

Lees verder
Gebeurtenis-ID 5136: een directoryserviceobject is gewijzigd [repareren]

Gebeurtenis-ID 5136: een directoryserviceobject is gewijzigd [repareren]Evenement Kijker

Dit is systeeminformatie die wijzigingen toont die aan een object zijn aangebrachtDe gebeurtenis-ID 5136 geeft aan dat er wijzigingen zijn aangebracht in een auditobject.U kunt de gebeurtenisdetail...

Lees verder