ИД догађаја 4726: кориснички налог је избрисан [поправка]

Омогућите ревизију користећи АДСИ Едит када добијете ИД овог догађаја

Неки од наших читалаца се жале да виде Виндовс безбедносни догађај 4726 у контролеру домена. Дневник догађаја показује да је кориснички налог избрисан и друге детаље о снимљеном догађају. Међутим, овај водич ће вас провести кроз како да поправите ИД догађаја.

Такође, можете прочитати о грешка ИД догађаја 7023 и неке исправке за решавање проблема на Виндовс 11.

Шта је догађај 4726?

ИД догађаја 4726 је Виндовс безбедносни догађај који указује на брисање корисничког налога. Када се овај догађај евидентира, кориснички налог је уклоњен или избрисан из Виндовс Ацтиве Дирецтори.

Овај догађај се обично бележи у евиденцији безбедносних догађаја на Виндовс контролеру домена.

Праћењем ИД-а догађаја 4726, администратори система могу да прате брисања корисничких налога у својим Виндовс окружење домена и идентификују све неовлашћене или сумњиве активности у вези са корисником рачуни.

Шта узрокује ИД догађаја 4726?

Различити фактори могу изазвати ИД догађаја 4726. Ево неких уобичајених сценарија који могу покренути овај догађај:

• Административна радња – Администратор или корисник са довољним привилегијама намерно је избрисао кориснички налог користећи Ацтиве Дирецтори алатке или ПоверСхелл команде.
• Истек налога – Ако кориснички налог истиче на одређени датум или након одређеног периода, систем га може аутоматски избрисати када постоји услов истека.
• Чишћење налога – Кориснички налози понекад могу бити избрисани као део рутинског одржавања или процеса чишћења. Може бити за уклањање неактивних или некоришћених налога из окружења Ацтиве Дирецтори.
• Престанак или одлазак – Када запослени напусти организацију, његов кориснички налог може бити избрисан да би се укинуо приступ мрежним ресурсима и одржала безбедност.
• Злонамерна активност – У несрећним случајевима неовлашћеног приступа или покушаја хаковања, нападач са довољним привилегије могу избрисати корисничке налоге да би пореметиле операције, прикриле њихове трагове или нанеле штету организација.

Ови фактори могу да варирају на различитим рачунарима. Без обзира на то, разговараћемо о неким основним решењима за решавање проблема.

Шта могу да урадим ако видим ИД догађаја 4726?

1. Омогућите ревизију користећи АДСИ Едит

1. Притисните Виндовс + Р тастере за отварање Трцати оквир за дијалог, тип АДСИЕдит.мсц, и притисните Ентер да бисте отворили конзолу Ацтиве Дирецтори Сервице Интерфаце (АДСИ)..
2. Кликните десним тастером миша на АДСИ Едит опцију на горњој левој страни, а затим изаберите Повезивање са из падајућег менија.
3. У прозору Подешавања везе кликните на Изаберите добро познати контекст именовања опцију и изаберите Подразумевани контекст именовања у падајућем менију, а затим кликните У реду.
4. Проширите Подразумевани контекст именовања опцију, кликните десним тастером миша на ДЦ=ввв, ДЦ=домен, ДЦ=цоми изаберите Својства из контекстног менија.
5. Иди на Безбедност картицу и кликните Напредно да отворите Напредне безбедносне поставке.
6. Изаберите Ревизија картицу и кликните Додати да додате унос ревизије за кориснике чије радње желите да надгледате.
7. Затим кликните на Изаберите директора опција.
   
8. Иди на Унесите назив објекта унос и тип Сви, кликните Проверите имена дугме да бисте потврдили име, а затим кликните У реду.
9. На Унос ревизије прозору, кликните на Тип опцију и изаберите Све из падајућег менија.
10. Кликните Примењује се до и изаберите Овај објекат и сви објекти потомци из падајућег менија.
11. Означите поља за следеће ставке: Потпуна контрола,Листа садржаја, Прочитајте сва својства, и Дозволе за читање, а затим кликните на У реду дугме.
12. На Напредна безбедносна подешавања, кликните Применити и У реду дугмад.
13. Затворите прозор АДСИ Едит.

Када добијете ИД догађаја 4726, морате пратити избрисане корисничке и рачунарске налоге. То се мора урадити омогућавањем ревизије у Ацтиве Дирецтори Сервице Интерфаце (АДСИ).

2. Користите Евент Виевер да проверите избрисане корисничке налоге и рачунаре у АД

1. Леви клик Почетак у Виндовс менију откуцајте Евент Виевер, и притисните Ентер.
2. Сада, идите на Виндовс евиденције и изаберите Безбедност.
3. Потражите ИД догађаја 4726 (ИД догађаја обрисани корисник/налог АД) и ИД догађаја 4743 (ИД догађаја избрисаног налога рачунара) за идентификацију брисања корисничког и рачунарског налога.
4. Затим померите надоле да бисте пронашли налози, рачунарски објекти и рачунарски налози избрисан.

Када омогућите ревизију, Евент Виевер ће евидентирати избрисане рачунарске и корисничке објекте.

Прочитајте више о овој теми

• УСБ диск приказује погрешну величину? Поправите то у 2 корака
• Поправка: Не можете да извршите ову промену јер је избор закључан
• Поправка: Интегритет меморије се не може укључити због Фтдибус.сис

3. Користите ПоверСхелл да бисте открили ко је избрисао налог

1. Кликните левим тастером миша на Виндовс икона, тип ПоверСхелл, и кликните Покрени као администратор.
2. Затим унесите следеће и притисните Ентер: Гет-ЕвентЛог -ЛогНаме Сецурити | Где-Објекат {$_.ЕвентИД -ек 4726} | Селецт-Објецт -Проперти *
3. Пронађите избрисани кориснички налог под Порука > Предмет. Може се видети име налога и безбедносни ИД корисника који је извршио брисање циљног корисника.

У закључку, имамо свеобухватан водич о томе како да обришите дневник догађаја на Виндовс рачунарима. Такође, прочитајте о чему ИД догађаја 4769 је и како то поправити.

Ако имате додатних питања или сугестија, љубазно их оставите у одељку за коментаре.