Zuhause »

Wie man herausfindet, wer ein Computerkonto in Active Directory gelöscht hat

Starten Sie Ihre kostenlose Testversion

Ein Computerkonto ist für die Geräteanmeldeaktivität genauso wichtig wie ein Benutzerkonto. Wenn das Active Directory (AD)-Computerkonto eines Benutzers gelöscht wird, kann sich dieser nicht mehr bei seinem Gerät anmelden, um seine Arbeit fortzusetzen. Dies kann Unternehmen viel Zeit kosten, da das Computerkonto wiederhergestellt werden muss, und zu Produktivitätsverlusten führen, da sich der Mitarbeiter nicht anmelden kann. Wenn Administratoren herausfinden, wer das Computerkonto gelöscht hat, können sie nachvollziehen, warum die Löschung erfolgt ist und wie sich zukünftige Vorfälle vermeiden lassen. Lesen Sie weiter, um zu erfahren, wie das funktioniert.

Schritte, um mithilfe von PowerShell herauszufinden, wer Computerkonten gelöscht hat:

Führen Sie die folgenden Aktionen auf dem Domänencontroller (DC) aus:

  1. Klicken Sie auf Start, suchen Sie nach Windows PowerShell, klicken Sie mit der rechten Maustaste darauf und wählen Sie Als Administrator ausführen aus.
  2. Geben Sie das folgende Skript in die Konsole ein:

    3. Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4743} | Select-Object -Property *

    screenshot
  3. Drücken Sie die Eingabetaste.
  4. Dieses Skript zeigt gelöschte Benutzerkonten an. In der Ausgabe finden Sie unter Meldung → Betreff → Account Name den Namen und die Sicherheits-ID des Benutzers, der die Löschung auf dem Zielcomputerkonto durchgeführt hat.

Hinweis: Wenn Sie eine Arbeitsstation verwenden, sollte das folgende Skript in PowerShell ausgeführt werden:

Get-EventLog -LogName Security -ComputerName <DC-Name>| Where-Object {$_.EventID -eq 4743} | Select-Object -Property *

wobei <DC-Name> der Name des Domänencontrollers ist, auf dem Sie die Details der erfolgten Löschung überprüfen möchten.

screenshot

Durch die systemeigene Überwachung können Sie nach Ereignissen suchen, um Objektlöschungen im Auge zu behalten. Dies wird jedoch unpraktisch, wenn Sie mit Tausenden von Computerkonten arbeiten und jedes Ereignis nachverfolgen müssen, sobald es auftritt.

Der oben beschriebene Prozess kann durch die Verwendung von ADAudit Plus, einer Echtzeit-Auditing-Software für Active Directory, vereinfacht werden. ADAudit Plus liefert detaillierte Informationen darüber, wer was, wann und von wo aus gelöscht hat, und zwar für jedes AD-Änderungsereignis, das in Ihrer Organisation stattfindet, einschließlich der Computerverwaltung.

Laden Sie eine kostenlose 30-Tage-Testversion herunter

Schritte, um herauszufinden, wer Computerkonten gelöscht hat, mit ManageEngine ADAudit Plus

  1. Öffnen Sie die ADAudit Plus-Konsole und melden Sie sich als Administrator an.
  2. Navigieren Sie zu Berichte → Active Directory → Computerverwaltung → Kürzlich gelöschte Computer.
1
 

Überwachen Sie kritische Computerkonten selektiv, indem Sie diese Berichte nach Kriterien wie Computername, Benutzername des Aufrufers, Name des Computers, Zeitpunkt der Erstellung/Löschung/Änderung usw. sortieren.

2
 

Gewinnen Sie wertvolle zusätzliche Erkenntnisse mithilfe von kuratierten Berichten wie „Benutzer, die an mehreren Computern angemeldet sind“.

find-who-deleted-computer-account-3

Überwachen Sie kritische Computerkonten selektiv, indem Sie diese Berichte nach Kriterien wie Computername, Benutzername des Aufrufers, Name des Computers, Zeitpunkt der Erstellung/Löschung/Änderung usw. sortieren.
Gewinnen Sie wertvolle zusätzliche Erkenntnisse mithilfe von kuratierten Berichten wie „Benutzer, die an mehreren Computern angemeldet sind“.

Vorteile der Verwendung von ADAudit Plus gegenüber der nativen Überwachung:

  • ADAudit Plus überwacht und berichtet über alle Active Directory-Änderungen konsistent und gewährleistet so einen fehlersicheren Prüfpfad. Es ist nicht erforderlich, sich die Ereignis-ID für jede Aktivität zu merken und danach zu suchen, wie es bei der nativen Überwachung der Fall ist.
  • Legen Sie mithilfe von maschinellem Lernen Warnmeldungen für ungewöhnliche Aktivitäten fest und automatisieren Sie die Reaktionen auf diese Warnmeldungen, um Insider-Bedrohungen zu erkennen und darauf zu reagieren.
  • Die sofort einsatzbereiten Compliance-Berichte von ADAudit Plus helfen Ihnen, Vorschriften wie SOX, HIPAA, GLBA, PCI-DSS, FISMA und DSGVO zu erfüllen.
Laden Sie eine kostenlose 30-Tage-Testversion herunter

Verwandte How-Tos

 
  • Active Directory
  • File servers
  • Windows server
  • Workstation
  • Related Products