Ідентифікатор події 4726: обліковий запис користувача було видалено [виправити]

Увімкніть аудит за допомогою ADSI Edit, коли ви отримаєте цей ідентифікатор події

Деякі з наших читачів скаржаться на подію безпеки Windows 4726 у контролері домену. У журналі подій зазначено, що обліковий запис користувача було видалено, а також інші відомості про записану подію. Однак у цьому посібнику ви дізнаєтесь, як виправити ідентифікатор події.

Крім того, ви можете прочитати про помилка ідентифікатора події 7023 і деякі виправлення для вирішення проблеми в Windows 11.

Що таке подія 4726?

Подія ID 4726 — це подія системи безпеки Windows, яка вказує на видалення облікового запису користувача. Коли ця подія реєструється, обліковий запис користувача було видалено або видалено з Windows Active Directory.

Ця подія зазвичай записується в журнал подій безпеки на контролері домену Windows.

Відстежуючи ідентифікатор події 4726, системні адміністратори можуть відстежувати видалення облікових записів користувачів у своїх Середовище домену Windows і виявляти будь-які несанкціоновані або підозрілі дії, пов’язані з користувачем облікові записи.

Що викликає подію ID 4726?

Різні фактори можуть спричинити подію ID 4726. Ось кілька поширених сценаріїв, які можуть викликати цю подію:

• Адміністративний захід – Адміністратор або користувач із достатніми правами навмисно видалив обліковий запис користувача за допомогою інструментів Active Directory або команд PowerShell.
• Закінчення терміну дії облікового запису – Якщо термін дії облікового запису користувача закінчується в певну дату або через певний період, він може бути автоматично видалений системою, коли існує умова закінчення терміну дії.
• Очищення облікового запису – Облікові записи користувачів іноді можуть бути видалені в рамках планового обслуговування або процесів очищення. Це може бути для видалення неактивних або невикористаних облікових записів із середовища Active Directory.
• Припинення або від'їзд – Коли працівник залишає організацію, його обліковий запис користувача може бути видалено, щоб скасувати доступ до мережевих ресурсів і забезпечити безпеку.
• Шкідлива діяльність – У нещасних випадках несанкціонованого доступу або спроб злому зловмисник має достатньо привілеї можуть видаляти облікові записи користувачів, щоб порушити роботу, замести сліди або завдати шкоди організації.

Ці фактори можуть відрізнятися на різних комп’ютерах. Незважаючи на це, ми обговоримо деякі основні способи вирішення проблеми.

Що робити, якщо я бачу ідентифікатор події 4726?

1. Увімкніть аудит за допомогою ADSI Edit

1. Прес вікна + Р ключі, щоб відкрити бігти діалогове вікно, вид ADSIEdit.msc, і натисніть Введіть щоб відкрити консоль інтерфейсу служби Active Directory (ADSI)..
2. Клацніть правою кнопкою миші Редагування ADSI у верхньому лівому куті, а потім виберіть Підключитися до зі спадного меню.
3. У вікні Параметри з’єднання натисніть Виберіть добре відомий контекст іменування і виберіть Контекст іменування за замовчуванням у спадному меню, а потім натисніть в порядку.
4. Розгорніть Контекст іменування за замовчуванням клацніть правою кнопкою миші DC=www, DC=домен, DC=comі виберіть Властивості з контекстного меню.
5. Перейти до Безпека вкладку та натисніть Просунутий щоб відкрити Розширені налаштування безпеки.
6. Виберіть аудит вкладку та натисніть додати щоб додати запис аудиту для користувачів, чиї дії ви хочете контролювати.
7. Потім натисніть Виберіть принципала варіант.
   
8. Перейти до Введіть назву об'єкта запис і тип Всі, натисніть Перевірте імена щоб підтвердити назву, а потім натисніть в порядку.
9. На Аудиторський запис вікно, натисніть Тип і виберіть все зі спадного меню.
10. Натисніть Застосовується і виберіть Цей об’єкт і всі об’єкти-нащадки зі спадного меню.
11. Поставте прапорці для таких елементів: Повний контроль,Список вмісту, Прочитати всі властивості, і Дозволи на читання, а потім натисніть в порядку кнопку.
12. На Розширені налаштування безпеки, натисніть Застосувати і в порядку кнопки.
13. Закрийте вікно редагування ADSI.

Коли ви отримуєте ідентифікатор події 4726, ви повинні відстежувати видалені облікові записи користувачів і комп’ютерів. Це потрібно зробити, увімкнувши аудит в інтерфейсі служби Active Directory (ADSI).

2. Використовуйте засіб перегляду подій, щоб перевірити видалені облікові записи користувачів і комп’ютери в AD

1. Клацніть лівою кнопкою миші старт у меню Windows введіть Переглядач подійі натисніть Введіть.
2. Тепер перейдіть до Журнали Windows і виберіть Безпека.
3. Пошук для ідентифікатор події 4726 (Ідентифікатор події видалення користувача/облікового запису AD) і ідентифікатор події 4743 (Ідентифікатор події видалення облікового запису комп’ютера), щоб ідентифікувати видалення облікового запису користувача та комп’ютера.
4. Потім прокрутіть вниз, щоб знайти облікові записи, об’єкти комп’ютера та облікові записи комп’ютера видалено.

Після ввімкнення аудиту засіб перегляду подій зареєструє видалені об’єкти комп’ютера та користувача.

Докладніше про цю тему

• USB-накопичувач показує неправильний розмір? Виправте це за 2 кроки
• Виправлення: ви не можете внести цю зміну, оскільки вибір заблоковано
• Виправлення: неможливо ввімкнути цілісність пам’яті через Ftdibus.sys

3. Використовуйте PowerShell, щоб визначити, хто видалив обліковий запис

1. Клацніть лівою кнопкою миші вікна значок, вид PowerShellі натисніть Запустити від імені адміністратора.
2. Потім введіть наступне та натисніть Введіть: Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4726} | Select-Object -Property *
3. Знайдіть видалений обліковий запис користувача під Повідомлення > Тема. Можна побачити ім’я облікового запису та ідентифікатор безпеки користувача, який виконав видалення цільового користувача.

На закінчення ми маємо вичерпний посібник про те, як це зробити очистити журнал подій на комп’ютерах Windows. Також читайте про що ідентифікатор події 4769 і як це виправити.

Якщо у вас є додаткові запитання чи пропозиції, залиште їх у розділі коментарів.