Mit PowerShell:
Führen Sie die folgenden Aktionen mit dem Domänencontroller (DC) aus:
- Drücken Sie auf Start und suchen Sie nach Windows PowerShell. Klicken Sie dann mit der rechten Maustaste darauf und wählen Sie Als Administrator ausführen aus.
- Geben Sie das folgende Skript in die Konsole ein:
Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4726} | Select-Object -Property *
- Drücken Sie die Eingabetaste.
- Das Skript zeigt die gelöschten Benutzerkonten an. In der Ausgabe finden Sie unter Mitteilung > Betreff den Kontonamen und die Sicherheits-ID des Benutzers, der die Löschung des Zielbenutzers durchgeführt hat.
Hinweis: Wenn Sie eine Workstation verwenden, führen Sie folgendes Skript über PowerShell aus:
Get-EventLog -LogName Security -ComputerName <DC name>| Where-Object {$_.EventID -eq 4726} |
Select-Object -Property *
„Where“ steht für den Namen des DC, bei dem Sie überprüfen möchten, ob die Löschung stattgefunden hat.
Mit dem Event Viewer
- Drücken Sie auf Start und suchen Sie nach Event Viewer. Klicken Sie dann mit der rechten Maustaste darauf und wählen Sie Als Administrator ausführen aus.
- Wechseln Sie im Event-Viewer-Fenster über den linken Bereich zu Event Viewer > Windows-Protokolle > Sicherheit.
- Klicken Sie im rechten Bereich auf „Aktuelles Protokoll filtern“.
- Im neuen Dialogfeld geben Sie 4726 in das Feld mit der Beschriftung <Alle Ereignis-IDs> ein.
- Klicken Sie auf „OK“.
- Hier finden SIe eine Liste der Ereignisse, die mit der Löschung des Benutzerkontos übereinstimmen. Doppelklicken Sie auf die Ereignis-ID in der Liste, um die Eigenschaften anzuzeigen.
- Im Fenster „Ereigniseigenschaften“ finden Sie in der Registerkarte „Allgemein“ unter „Betreff“ > „Kontoname“ den Benutzer, der die Löschung durchgeführt hat.
Hinweis: Wenn Sie eine Workstation verwenden, klicken Sie im Event Viewer mit der rechten Maustaste im linken Bereich auf Event Viewer (Lokal) und klicken Sie dann auf Mit anderem Computer verbinden. Geben Sie schließlich den Namen für den DC im folgenden Format ein:
<Domänenname>\<Name des Domänencontrollers>
Die obigen zwei Methoden sind komplex und bieten nur begrenzte Einblicke, da sie die Ereignisse damit nicht bereits verfolgen können, während sie auftreten.
So finden Sie mit ManageEngine ADAudit Plus heraus, wer ein Benutzerkonto gelöscht hat
- Öffnen Sie die Konsole von ADAudit Plus und melden Sie sich als Administrator an.
- Navigieren Sie zu Berichte > Active Directory > Benutzermanagement > Kürzlich gelöschte Benutzer.
Dadurch erhalten Sie eine detaillierte Liste gelöschter Benutzerkonten, den Benutzer, der die Löschung vorgenommen hat, die Zeit der Löschung und den DC, in dem die Löschung durchgeführt wurde – zusammen mit einer grafischen Darstellung.
ADAudit Plus ermöglicht Ihnen, den Zugriffe auf und Änderungen an AD-Objekten in Echtzeit zu überwachen.
