ID do evento 4726: uma conta de usuário foi excluída [Corrigir]

Habilite a auditoria usando o ADSI Edit quando você obtiver este ID de evento

Alguns de nossos leitores reclamam de ver o evento de segurança 4726 do Windows no controlador de domínio. O log de eventos indica que uma conta de usuário foi excluída e outros detalhes sobre o evento registrado. No entanto, este guia orientará você sobre como corrigir a ID do evento.

Além disso, você pode ler sobre o ID do evento 7023 erro e algumas correções para resolvê-lo no Windows 11.

O que é o evento 4726?

A ID de evento 4726 é um evento de segurança do Windows que indica a exclusão de uma conta de usuário. Quando esse evento é registrado, uma conta de usuário foi removida ou excluída do Windows Active Directory.

Esse evento geralmente é registrado no log de eventos de segurança em um controlador de domínio do Windows.

Ao monitorar o evento ID 4726, os administradores do sistema podem acompanhar as exclusões de contas de usuário em seus ambiente de domínio do Windows e identificar quaisquer atividades não autorizadas ou suspeitas relacionadas ao usuário contas.

O que causa o ID de evento 4726?

Vários fatores podem causar o ID de evento 4726. Aqui estão alguns cenários comuns que podem acionar esse evento:

• Ação administrativa – Um administrador ou usuário com privilégios suficientes excluiu deliberadamente a conta do usuário usando ferramentas do Active Directory ou comandos do PowerShell.
• Expiração da conta – Se uma conta de usuário expirar em uma data específica ou após um determinado período, ela poderá ser excluída automaticamente pelo sistema quando a condição de expiração existir.
• Limpeza de conta – Às vezes, as contas de usuário podem ser excluídas como parte da manutenção de rotina ou dos processos de limpeza. Pode ser para remover contas inativas ou não utilizadas do ambiente do Active Directory.
• Rescisão ou saída – Quando um funcionário sai de uma organização, sua conta de usuário pode ser excluída para revogar o acesso aos recursos de rede e manter a segurança.
• Atividade maliciosa – Em casos infelizes de acesso não autorizado ou tentativas de hacking, um invasor com privilégios podem excluir contas de usuário para interromper operações, encobrir seus rastros ou causar danos ao organização.

Esses fatores podem variar em diferentes computadores. Independentemente disso, discutiremos algumas correções básicas para resolver o problema.

O que posso fazer se vir o ID de evento 4726?

1. Habilitar auditoria usando o ADSI Edit

1. Imprensa janelas + R chaves para abrir o Correr caixa de diálogo, digite ADSIEdit.msc, e pressione Digitar para abrir o console do Active Directory Service Interface (ADSI).
2. Clique com o botão direito do mouse no Editar ADSI opção no lado superior esquerdo e, em seguida, selecione Conectar a do menu suspenso.
3. Na janela Configurações de conexão, clique no botão Selecione um Contexto de Nomenclatura conhecido opção e selecione Contexto de Nomeação Padrão no menu suspenso e clique em OK.
4. Expandir o Contexto de Nomeação Padrão opção, clique com o botão direito em DC=www, DC=domínio, DC=come selecione Propriedades no menu de contexto.
5. Vou ao Segurança aba e clique Avançado para abrir o Configurações avançadas de segurança.
6. Selecione os Auditoria aba e clique Adicionar para adicionar a entrada de auditoria para os usuários cujas ações você deseja monitorar.
7. Em seguida, clique no Selecione um principal opção.
   
8. Vou ao Digite o nome do objeto entrada e tipo Todos, Clique no Verificar nomes para verificar o nome e, em seguida, clique OK.
9. No entrada de auditoria janela, clique no Tipo opção e selecione Todos no menu suspenso.
10. Clique Aplica-se para e selecione Este objeto e todos os objetos descendentes no menu suspenso.
11. Marque as caixas para os seguintes itens: Controlo total,Conteúdo da lista, Leia todas as propriedades, e Permissões de leitura, em seguida, clique no OK botão.
12. No Configurações avançadas de segurança, Clique no Aplicar e OK botões.
13. Feche a janela Editar ADSI.

Ao obter a ID de evento 4726, você deve rastrear as contas de computador e usuário excluídas. Isso deve ser feito habilitando a auditoria no Active Directory Service Interface (ADSI).

2. Use o Visualizador de eventos para verificar contas de usuário e computadores excluídos no AD

1. Clique esquerdo Começar no menu do Windows, digite Visualizador de eventos, e pressione Digitar.
2. Agora, vá para Registros do Windows e selecione Segurança.
3. Procure o ID do evento 4726 (ID de evento excluído do usuário/conta do AD) e ID do evento 4743 (ID de evento excluído da conta do computador) para identificar as exclusões de conta do usuário e do computador.
4. Em seguida, role para baixo para localizar o contas, objetos de computador e contas de computador excluído.

Depois de habilitar a auditoria, o Visualizador de Eventos registrará computadores excluídos e objetos de usuário.

Leia mais sobre este tópico

• A unidade USB está mostrando o tamanho errado? Corrigi-lo em 2 etapas
• Correção: você não pode fazer essa alteração porque a seleção está bloqueada
• Correção: a integridade da memória não pode ser ativada devido a Ftdibus.sys

3. Use o PowerShell para detectar quem excluiu a conta

1. Clique com o botão esquerdo no janelas ícone, digite PowerShell, e clique Executar como administrador.
2. Em seguida, insira o seguinte e pressione Digitar: Get-EventLog -LogName Segurança | Where-Object {$_.EventID -eq 4726} | Selecionar-Objeto -Propriedade *
3. Localize a conta de usuário excluída em Mensagem > Assunto. O nome da conta e o ID de segurança do usuário que executou a exclusão no usuário de destino podem ser vistos.

Em conclusão, temos um guia completo sobre como limpar o log de eventos em computadores Windows. Além disso, leia sobre o que ID do evento 4769 é e como corrigi-lo.

Se você tiver mais perguntas ou sugestões, por favor, deixe-as na seção de comentários.