Sådan finder du ud af, hvem der har slettet en brugerkonto i Active Directory

Med PowerShell:

Udfør følgende handlinger på domænecontrolleren (DC):

1. Tryk på Start, søg efter Windows PowerShell, højreklik på den, og vælg Kør som administrator.
2. Indtast følgende script på konsollen:
   Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4726} | Select-Object -Property *
3. Tryk på Enter.
4. Dette script viser slettede brugerkonti. I outputtet kan man under Meddelelse > Emne se kontonavnet og sikkerheds-ID'et for den bruger, der udførte sletningen af destinationsbrugeren.

Bemærk: Hvis du bruger en arbejdsstation, skal følgende script køres i PowerShell:

hvorer navnet på den domænecontroller, hvor du vil tjekke, om sletningen har fundet sted.

Med Logbog

1. Tryk på Start, søg efter Logbog, højreklik på den, og vælg Kør som administrator.
2. I det nye Logbogsvindue skal du navigere til Logbog > Windows-logfiler > Sikkerhed med venstre rude.
3. I højre rude skal du klikke på Filtrer aktuel log.

4. I den nye dialogboks skal du indtaste 4726 i feltet mærket <Alle hændelses-ID'er>.

5. Klik på OK.
6. Her kan du se en liste over hændelser, der svarer til sletning af brugerkonti. Dobbeltklik på et hændelses-ID på listen for at se dets egenskaber.
7. I vinduet Egenskaber for hændelsen, på fanen Generelt, under Emne > Kontonavn, kan du se den bruger, der udførte denne sletning.

Bemærk: Hvis bruger en arbejdsstation, skal du i Logbog i venstre rude højreklikke på Logbog (lokal), klikke på Forbind til en anden computer … og indtaste navnet på domænecontrolleren i følgende format:

De to ovenstående metoder er komplekse, og den indsigt, de giver, er begrænset, da det er umuligt at spore hver hændelse, efterhånden som den finder sted.