Händelse-ID 4726: Ett användarkonto togs bort [Fix]

Aktivera granskning med ADSI Edit när du får detta händelse-ID

Några av våra läsare klagar över att de har sett Windows-säkerhetshändelsen 4726 i domänkontrollanten. Händelseloggen indikerar att ett användarkonto har tagits bort och annan information om den inspelade händelsen. Den här guiden tar dig dock igenom hur du fixar händelse-ID: t.

Du kan också läsa om händelse-ID 7023 fel och några korrigeringar för att lösa det på Windows 11.

Vad är händelse 4726?

Händelse-ID 4726 är en Windows-säkerhetshändelse som indikerar borttagning av ett användarkonto. När denna händelse loggas togs ett användarkonto bort eller raderades från Windows Active Directory.

Denna händelse registreras vanligtvis i säkerhetshändelseloggen på en Windows-domänkontrollant.

Genom att övervaka Event ID 4726 kan systemadministratörer hålla reda på raderingar av användarkonton i sina Windows domänmiljö och identifiera alla obehöriga eller misstänkta aktiviteter relaterade till användaren konton.

Vad orsakar händelse-ID 4726?

Olika faktorer kan orsaka händelse-ID 4726. Här är några vanliga scenarier som kan utlösa denna händelse:

• Administrativ åtgärd – En administratör eller användare med tillräckliga privilegier har avsiktligt tagit bort användarkontot med hjälp av Active Directory-verktyg eller PowerShell-kommandon.
• Kontot löper ut – Om ett användarkonto ska upphöra att gälla ett visst datum eller efter en viss period, kan det automatiskt raderas av systemet när utgångsvillkoret föreligger.
• Kontorensning – Användarkonton kan ibland raderas som en del av rutinunderhåll eller saneringsprocesser. Det kan vara för att ta bort inaktiva eller oanvända konton från Active Directory-miljön.
• Uppsägning eller avgång – När en anställd lämnar en organisation kan deras användarkonto raderas för att återkalla åtkomst till nätverksresurser och upprätthålla säkerheten.
• Skadlig aktivitet – I olyckliga fall av obehörig åtkomst eller hacka försök, en angripare med tillräcklig privilegier kan radera användarkonton för att störa verksamheten, täcka deras spår eller orsaka skada på organisation.

Dessa faktorer kan variera på olika datorer. Oavsett vilket kommer vi att diskutera några grundläggande korrigeringar för att lösa problemet.

Vad kan jag göra om jag ser händelse-ID 4726?

1. Aktivera revision med ADSI Edit

1. Tryck Windows + R nycklar för att öppna Springa dialogruta, typ ADSIEdit.msc, och tryck Stiga på för att öppna ADSI-konsolen (Active Directory Service Interface)..
2. Högerklicka på ADSI Edit alternativet längst upp till vänster och välj sedan Koppla till från rullgardinsmenyn.
3. I fönstret Anslutningsinställningar klickar du på Välj en välkänd namngivningskontext alternativ och välj Standardnamnkontext i rullgardinsmenyn och klicka sedan på OK.
4. Expandera Standardnamnkontext alternativ, högerklicka på DC=www, DC=domän, DC=comoch välj Egenskaper från snabbmenyn.
5. Gå till säkerhet fliken och klicka Avancerad att öppna Avancerade säkerhetsinställningar.
6. Välj Revision fliken och klicka Lägg till för att lägga till revisionsposten för de användare vars åtgärder du vill övervaka.
7. Klicka sedan på Välj en rektor alternativ.
   
8. Gå till Ange objektnamn inmatning och typ Alla, Klicka på Kontrollera namn för att verifiera namnet och klicka sedan på OK.
9. På Revisionspost fönstret klickar du på Typ alternativ och välj Allt från rullgardinsmenyn.
10. Klick Gäller till och välj Detta objekt och alla underliggande objekt från rullgardinsmenyn.
11. Markera rutorna för följande objekt: Full kontroll,Lista innehåll, Läs alla egenskaper, och Läsbehörigheter, klicka sedan på OK knapp.
12. På Avancerade säkerhetsinställningar, Klicka på Tillämpa och OK knappar.
13. Stäng ADSI-redigeringsfönstret.

När du får händelse-ID 4726 måste du spåra de raderade användar- och datorkontona. Det måste göras genom att aktivera granskningen i Active Directory Service Interface (ADSI).

2. Använd Event Viewer för att kontrollera raderade användarkonton och datorer i AD

1. Vänster klick Start på Windows-menyn, skriv Loggbokenoch tryck på Stiga på.
2. Gå nu till Windows-loggar och välj säkerhet.
3. Sök efter händelse-ID 4726 (AD-användare/konto raderat händelse-ID) och händelse-ID 4743 (Datorkonto raderat händelse-ID) för att identifiera användaren och raderingen av datorkontot.
4. Scrolla sedan ner för att hitta konton, datorobjekt och datorkonton raderade.

När du har aktiverat granskning kommer händelsevisaren att logga borttagna dator- och användarobjekt.

Läs mer om detta ämne

• Visar USB-enheten fel storlek? Fixa det i 2 steg
• Fix: Du kan inte göra den här ändringen eftersom urvalet är låst
• Fix: Minnesintegritet kan inte slås på på grund av Ftdibus.sys

3. Använd PowerShell för att upptäcka vem som tagit bort kontot

1. Vänsterklicka på Windows ikon, typ PowerShell, och klicka Kör som administratör.
2. Mata sedan in följande och tryck på Stiga på: Get-EventLog -LogName Säkerhet | Where-Object {$_.EventID -eq 4726} | Välj-Objekt -Egenskap *
3. Leta reda på det borttagna användarkontot under Meddelande > Ämne. Kontonamnet och säkerhets-ID för användaren som utförde raderingen på målanvändaren kan ses.

Avslutningsvis har vi en omfattande guide om hur man gör rensa händelseloggen på Windows-datorer. Läs också om vad händelse-ID 4769 är och hur man fixar det.

Om du har ytterligare frågor eller förslag, vänligen skriv dem i kommentarsfältet.