ID udalosti 4726: Používateľský účet bol odstránený [Oprava]

Po získaní tohto ID udalosti povoľte auditovanie pomocou ADSI Edit

Niektorí z našich čitateľov sa sťažujú, že v radiči domény videli udalosť zabezpečenia systému Windows 4726. V denníku udalostí sa uvádza, že používateľský účet bol odstránený a ďalšie podrobnosti o zaznamenanej udalosti. Táto príručka vás však prevedie tým, ako opraviť ID udalosti.

Tiež si môžete prečítať o chyba udalosti ID 7023 a niektoré opravy na jeho vyriešenie v systéme Windows 11.

Čo je to udalosť 4726?

Udalosť ID 4726 je udalosť zabezpečenia systému Windows, ktorá označuje odstránenie používateľského konta. Keď je táto udalosť zaznamenaná, používateľské konto bolo odstránené alebo odstránené z Windows Active Directory.

Táto udalosť je zvyčajne zaznamenaná v denníku udalostí zabezpečenia na radiči domény Windows.

Monitorovaním Event ID 4726 môžu správcovia systému sledovať vymazania používateľských účtov vo svojom účte prostredie domény Windows a identifikovať akékoľvek neoprávnené alebo podozrivé aktivity súvisiace s používateľom účtov.

Čo spôsobuje udalosť ID 4726?

Udalosť ID 4726 môžu spôsobiť rôzne faktory. Tu je niekoľko bežných scenárov, ktoré môžu spustiť túto udalosť:

• Administratívna akcia – Správca alebo používateľ s dostatočnými oprávneniami úmyselne odstránil používateľský účet pomocou nástrojov služby Active Directory alebo príkazov prostredia PowerShell.
• Vypršanie platnosti účtu – Ak má používateľský účet vypršať k určitému dátumu alebo po určitom čase, systém ho môže automaticky vymazať, keď nastane podmienka vypršania platnosti.
• Čistenie účtu – Používateľské účty môžu byť niekedy odstránené ako súčasť bežnej údržby alebo procesov čistenia. Môže slúžiť na odstránenie neaktívnych alebo nepoužívaných účtov z prostredia Active Directory.
• Ukončenie alebo odchod – Keď zamestnanec opustí organizáciu, jeho používateľský účet môže byť vymazaný, aby sa zrušil prístup k sieťovým zdrojom a zachovala sa bezpečnosť.
• Škodlivá činnosť – V nešťastných prípadoch neoprávneného prístupu alebo pokusov o hackovanie, útočník s dostatočným privilégiá môžu vymazať používateľské účty, aby narušili operácie, zakryli ich stopy alebo spôsobili poškodenie Organizácia.

Tieto faktory sa môžu na rôznych počítačoch líšiť. Bez ohľadu na to budeme diskutovať o niektorých základných opravách na vyriešenie problému.

Čo môžem urobiť, ak vidím ID udalosti 4726?

1. Povoľte auditovanie pomocou ADSI Edit

1. Stlačte tlačidlo Windows + R kľúče na otvorenie Bežať dialógové okno, zadajte ADSIEdit.msc, a stlačte Zadajte otvorte konzolu ADSI (Active Directory Service Interface)..
2. Kliknite pravým tlačidlom myši na ADSI Edit možnosť v ľavej hornej časti a potom vyberte Pripojte sa k z rozbaľovacej ponuky.
3. V okne Nastavenia pripojenia kliknite na Vyberte dobre známy kontext názvov možnosť a vyberte Predvolený kontext názvov v rozbaľovacej ponuke a potom kliknite na OK.
4. Rozbaľte Predvolený kontext názvov možnosť, kliknite na ňu pravým tlačidlom myši DC=www, DC=doména, DC=coma vyberte Vlastnosti z kontextového menu.
5. Choďte na Bezpečnosť tab a kliknite Pokročilé otvoriť Rozšírené nastavenia zabezpečenia.
6. Vyberte Auditovanie tab a kliknite Pridať na pridanie položky auditovania pre používateľov, ktorých akcie chcete monitorovať.
7. Potom kliknite na Vyberte riaditeľa možnosť.
   
8. Choďte na Zadajte názov objektu vstup a typ Každý, kliknite na Skontrolujte mená potvrďte názov a potom kliknite OK.
9. Na Kontrolný záznam okno, kliknite na Typ možnosť a vyberte Všetky z rozbaľovacej ponuky.
10. Kliknite Platí do a vyberte Tento objekt a všetky podradené objekty z rozbaľovacej ponuky.
11. Začiarknite políčka pri nasledujúcich položkách: plná kontrola,Zoznam obsahu, Prečítajte si všetky vlastnosti, a Povolenia na čítaniea potom kliknite na OK tlačidlo.
12. Na Rozšírené nastavenia zabezpečenia, kliknite na Použiť a OK tlačidlá.
13. Zatvorte okno ADSI Edit.

Keď získate ID udalosti 4726, musíte sledovať odstránené používateľské a počítačové účty. Musí sa to urobiť povolením auditovania v rozhraní ADSI (Active Directory Service Interface).

2. Použite Zobrazovač udalostí na kontrolu odstránených používateľských účtov a počítačov v AD

1. Ľavý klik Štart v ponuke Windows napíšte Prehliadač udalostía stlačte Zadajte.
2. Teraz prejdite na Denníky systému Windows a vyberte Bezpečnosť.
3. Vyhľadajte ID udalosti 4726 (ID udalosti odstráneného používateľa/účtu AD) a ID udalosti 4743 (ID udalosti vymazaného konta počítača) na identifikáciu odstránenia používateľského a počítačového konta.
4. Potom prejdite nadol a vyhľadajte účty, počítačové objekty a počítačové účty vymazané.

Keď povolíte auditovanie, Prehliadač udalostí zaznamená odstránené objekty počítača a používateľov.

Prečítajte si viac o tejto téme

• Jednotka USB zobrazuje nesprávnu veľkosť? Opravte to v 2 krokoch
• Oprava: Túto zmenu nemôžete vykonať, pretože výber je uzamknutý
• Oprava: Integrita pamäte sa nedá zapnúť kvôli Ftdibus.sys

3. Použite PowerShell na zistenie, kto odstránil účet

1. Kliknite ľavým tlačidlom myši na Windows ikona, typ PowerShella kliknite na tlačidlo Spustiť ako správca.
2. Potom zadajte nasledovné a stlačte Zadajte: Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4726} | Select-Object - Property *
3. Nájdite odstránený používateľský účet pod Správa > Predmet. Môžete vidieť názov účtu a bezpečnostné ID používateľa, ktorý vykonal odstránenie na cieľovom používateľovi.

Na záver tu máme komplexný návod, ako na to vymazať denník udalostí na počítačoch so systémom Windows. Prečítajte si tiež o čom ID udalosti 4769 je a ako to opraviť.

Ak máte ďalšie otázky alebo návrhy, pokojne ich napíšte do sekcie komentárov.