ID eveniment 4726: Un cont de utilizator a fost șters [Remediere]

Activați auditarea folosind ADSI Edit când obțineți acest ID de eveniment

Unii dintre cititorii noștri se plâng că au văzut evenimentul de securitate Windows 4726 în controlerul de domeniu. Jurnalul de evenimente indică un cont de utilizator șters și alte detalii despre evenimentul înregistrat. Cu toate acestea, acest ghid vă va explica cum să remediați ID-ul evenimentului.

De asemenea, puteți citi despre eroare ID eveniment 7023 și câteva remedieri pentru a o rezolva pe Windows 11.

Ce este evenimentul 4726?

ID de eveniment 4726 este un eveniment de securitate Windows care indică ștergerea unui cont de utilizator. Când acest eveniment este înregistrat, un cont de utilizator a fost șters sau șters din Windows Active Directory.

Acest eveniment este de obicei înregistrat în jurnalul de evenimente de securitate de pe un controler de domeniu Windows.

Prin monitorizarea ID-ului evenimentului 4726, administratorii de sistem pot urmări ștergerile conturilor de utilizator în propria lor Mediul de domeniu Windows și identificați orice activități neautorizate sau suspecte legate de utilizator conturi.

Ce cauzează evenimentul ID 4726?

Diferiți factori pot cauza evenimentul ID 4726. Iată câteva scenarii comune care pot declanșa acest eveniment:

• Acțiune administrativă – Un administrator sau un utilizator cu privilegii suficiente a șters în mod deliberat contul de utilizator folosind instrumente Active Directory sau comenzi PowerShell.
• Expirarea contului – Dacă un cont de utilizator urmează să expire la o anumită dată sau după o anumită perioadă, acesta poate fi șters automat de către sistem atunci când există condiția de expirare.
• Curățarea contului – Conturile de utilizator pot fi uneori șterse ca parte a proceselor de întreținere de rutină sau de curățare. Poate fi pentru eliminarea conturilor inactive sau neutilizate din mediul Active Directory.
• Încetarea sau plecarea – Când un angajat părăsește o organizație, contul său de utilizator poate fi șters pentru a revoca accesul la resursele de rețea și pentru a menține securitatea.
• Activitate rău intenționată – În cazuri nefericite de acces neautorizat sau tentative de hacking, un atacator cu suficient privilegiile pot șterge conturile de utilizator pentru a întrerupe operațiunile, a le acoperi urmele sau a cauza prejudicii organizare.

Acești factori pot varia pe diferite computere. Indiferent, vom discuta câteva remedieri de bază pentru a rezolva problema.

Ce pot face dacă văd evenimentul ID 4726?

1. Activați auditarea utilizând ADSI Edit

1. presa Windows + R cheile pentru a deschide Alerga caseta de dialog, tastați ADSIEdit.msc, și apăsați introduce pentru a deschide consola ADSI (Active Directory Service Interface)..
2. Faceți clic dreapta pe ADSI Edit opțiunea din partea stângă sus, apoi selectați Conectează la din meniul drop-down.
3. În fereastra Setări conexiune, faceți clic pe Selectați un context de denumire bine-cunoscut opțiunea și selectați Context de denumire implicit în meniul derulant, apoi faceți clic Bine.
4. Extindeți Context de denumire implicit opțiunea, faceți clic dreapta pe DC=www, DC=domeniu, DC=com, și selectați Proprietăți din meniul contextual.
5. Du-te la Securitate filă și faceți clic Avansat pentru a deschide Setări avansate de securitate.
6. Selectează Auditul filă și faceți clic Adăuga pentru a adăuga intrarea de auditare pentru utilizatorii ale căror acțiuni doriți să le monitorizați.
7. Apoi, faceți clic pe Selectați un principal opțiune.
   
8. Du-te la Introduceți numele obiectului intrare și tip Toata lumea, apasă pe Verificați Nume butonul pentru a verifica numele, apoi faceți clic Bine.
9. Pe Intrare de audit fereastra, faceți clic pe Tip opțiunea și selectați Toate din meniul derulant.
10. Clic Se aplică la și selectați Acest obiect și toate obiectele descendente din meniul derulant.
11. Bifați casetele pentru următoarele elemente: Control total,Listează conținut, Citiți toate proprietățile, și Permisiuni de citire, apoi faceți clic pe Bine buton.
12. Pe Setări avansate de securitate, apasă pe aplica și Bine butoane.
13. Închideți fereastra ADSI Edit.

Când obțineți ID-ul evenimentului 4726, trebuie să urmăriți conturile de utilizator și computer șterse. Acesta trebuie făcut prin activarea auditării în Active Directory Service Interface (ADSI).

2. Utilizați Vizualizatorul de evenimente pentru a verifica conturile de utilizator și computerele șterse în AD

1. Faceți clic stânga start în meniul Windows, tastați Vizualizator de eveniment, și apăsați introduce.
2. Acum, du-te la Jurnalele Windows și selectați Securitate.
3. Căutați ID eveniment 4726 (ID de eveniment șters utilizator/cont AD) și ID eveniment 4743 (ID de eveniment șters contul de computer) pentru a identifica ștergerile contului de utilizator și de computer.
4. Apoi, derulați în jos pentru a localiza conturi, obiecte de computer și conturi de computer șters.

După ce ați activat auditarea, Vizualizatorul de evenimente va înregistra computerul și obiectele utilizator șterse.

Citiți mai multe despre acest subiect

• Unitatea USB afișează dimensiunea greșită? Remediați-l în 2 pași
• Remediere: nu puteți face această modificare deoarece selecția este blocată
• Remediere: Integritatea memoriei nu poate fi activată din cauza Ftdibus.sys

3. Utilizați PowerShell pentru a detecta cine a șters contul

1. Faceți clic stânga pe Windows pictogramă, tastați PowerShell, și faceți clic Rulat ca administrator.
2. Apoi, introduceți următoarele și apăsați introduce: Get-EventLog -LogName Security | Unde-Obiect {$_.EventID -eq 4726} | Selectare-Obiect -Proprietate *
3. Găsiți contul de utilizator șters sub Mesaj > Subiect. Numele contului și ID-ul de securitate al utilizatorului care a efectuat ștergerea asupra utilizatorului țintă pot fi văzute.

În concluzie, avem un ghid cuprinzător despre cum ștergeți jurnalul de evenimente pe computere Windows. De asemenea, citește despre ce ID eveniment 4769 este și cum se remediază.

Dacă aveți întrebări sau sugestii suplimentare, vă rugăm să le trimiteți în secțiunea de comentarii.