Идентификатор события 4726: учетная запись пользователя была удалена [исправлено]

Включите аудит с помощью ADSI Edit при получении этого идентификатора события.

Некоторые из наших читателей жалуются на появление события безопасности Windows 4726 в контроллере домена. В журнале событий указано, что учетная запись пользователя была удалена, и другие сведения о записанном событии. Тем не менее, это руководство расскажет вам, как исправить идентификатор события.

Также вы можете прочитать о ошибка идентификатора события 7023 и некоторые исправления для решения этой проблемы в Windows 11.

Что такое событие 4726?

Идентификатор события 4726 — это событие безопасности Windows, указывающее на удаление учетной записи пользователя. Когда это событие регистрируется, учетная запись пользователя была удалена или удалена из Windows Active Directory.

Это событие обычно записывается в журнал событий безопасности на контроллере домена Windows.

Отслеживая событие с идентификатором 4726, системные администраторы могут отслеживать удаление учетных записей пользователей в своих Среда домена Windows и выявление любых несанкционированных или подозрительных действий, связанных с пользователем. Счета.

Что вызывает событие ID 4726?

Различные факторы могут вызвать событие с идентификатором 4726. Вот несколько распространенных сценариев, которые могут вызвать это событие:

• Административное действие – Администратор или пользователь с достаточными привилегиями намеренно удалил учетную запись пользователя с помощью инструментов Active Directory или команд PowerShell.
• Срок действия учетной записи – Если срок действия учетной записи пользователя истекает в определенную дату или по истечении определенного периода, она может быть автоматически удалена системой при наличии условия истечения срока действия.
• Очистка аккаунта – Учетные записи пользователей могут иногда удаляться в рамках планового обслуживания или процессов очистки. Это может быть для удаления неактивных или неиспользуемых учетных записей из среды Active Directory.
• Прекращение или отъезд – Когда сотрудник покидает организацию, его учетная запись пользователя может быть удалена, чтобы отозвать доступ к сетевым ресурсам и обеспечить безопасность.
• Вредоносная активность – В неудачных случаях несанкционированного доступа или попыток взлома злоумышленник с достаточным привилегии могут удалять учетные записи пользователей, чтобы нарушить работу, замести следы или причинить вред организация.

Эти факторы могут различаться на разных компьютерах. Несмотря на это, мы обсудим некоторые основные исправления для решения проблемы.

Что делать, если я вижу событие с идентификатором 4726?

1. Включить аудит с помощью ADSI Edit

1. Нажимать Окна + р ключи, чтобы открыть Бегать диалоговое окно, введите ADSIEdit.msc, и нажмите Входить чтобы открыть консоль интерфейса службы Active Directory (ADSI).
2. Щелкните правой кнопкой мыши ADSI Править в левом верхнем углу, затем выберите Подключиться к из раскрывающегося списка.
3. В окне «Параметры подключения» нажмите кнопку Выберите известный контекст именования вариант и выберите Контекст именования по умолчанию в раскрывающемся меню, затем нажмите ХОРОШО.
4. Развернуть Контекст именования по умолчанию вариант, щелкните правой кнопкой мыши DC=www, DC=домен, DC=comи выберите Характеристики из контекстного меню.
5. Перейти к Безопасность вкладку и нажмите Передовой открыть Расширенные настройки безопасности.
6. Выберите Аудит вкладку и нажмите Добавлять чтобы добавить запись аудита для пользователей, чьи действия вы хотите отслеживать.
7. Затем нажмите кнопку Выберите принципала вариант.
   
8. Перейти к Введите имя объекта запись и тип Каждый, щелкните Проверить имена кнопку, чтобы подтвердить имя, затем нажмите ХОРОШО.
9. На Аудит записи окно, нажмите на Тип вариант и выберите Все из выпадающего меню.
10. Нажмите Применяется и выбрать Этот объект и все объекты-потомки из выпадающего меню.
11. Установите флажки для следующих пунктов: Полный контроль,Содержание списка, Читать все свойства, и Разрешения на чтение, затем нажмите ХОРОШО кнопка.
12. На Расширенные настройки безопасности, щелкните Применять и ХОРОШО кнопки.
13. Закройте окно редактирования ADSI.

Когда вы получите идентификатор события 4726, вы должны отслеживать удаленные учетные записи пользователей и компьютеров. Это необходимо сделать, включив аудит в интерфейсе службы Active Directory (ADSI).

2. Используйте средство просмотра событий для проверки удаленных учетных записей пользователей и компьютеров в AD.

1. Щелчок левой кнопкой мыши Начинать в меню Windows введите Просмотрщик событийи нажмите Входить.
2. Теперь иди к Журналы Windows и выберите Безопасность.
3. Найдите идентификатор события 4726 (ИД события удаления пользователя/учетной записи AD) и идентификатор события 4743 (Идентификатор события удаления учетной записи компьютера), чтобы идентифицировать удаление учетной записи пользователя и компьютера.
4. Затем прокрутите вниз, чтобы найти учетные записи, объекты компьютеров и учетные записи компьютеров удален.

После включения аудита средство просмотра событий будет регистрировать удаленные объекты компьютеров и пользователей.

Подробнее об этой теме

• USB-накопитель показывает неправильный размер? Исправьте это за 2 шага
• Исправление: вы не можете внести это изменение, потому что выделение заблокировано
• Исправлено: целостность памяти не может быть включена из-за Ftdibus.sys

3. Используйте PowerShell, чтобы определить, кто удалил учетную запись

1. Щелкните левой кнопкой мыши Окна значок, тип PowerShellи нажмите Запустить от имени администратора.
2. Затем введите следующее и нажмите Входить: Get-EventLog -LogName Безопасность | Где-Объект {$_.EventID -eq 4726} | Выбрать-Объект-Свойство *
3. Найдите удаленную учетную запись пользователя в Сообщение > Тема. Можно увидеть имя учетной записи и идентификатор безопасности пользователя, который выполнил удаление целевого пользователя.

В заключение у нас есть подробное руководство о том, как очистить журнал событий на компьютерах с Windows. Также читайте о том, что идентификатор события 4769 есть и как это исправить.

Если у вас есть дополнительные вопросы или предложения, пожалуйста, оставьте их в разделе комментариев.