Comment détecter qui a supprimé un compte d'utilisateur dans Active Directory ?

Commencez votre essai gratuit

Les comptes d'utilisateurs dans Active Directory (AD) permettent aux employés de se connecter et d'accéder à un système. Parfois, un administrateur négligent ou un pirate informatique supprime un compte utilisateur : l'employé n'a ainsi plus accès à son système et à ses fichiers. Dans ce cas, il existe des moyens de savoir qui a effectué la suppression.

Audit natif de Windows
ADAudit Plus

Utilisation de PowerShell :

Effectuez les opérations suivantes sur le contrôleur de domaine (DC) :

Appuyez sur Démarrer, recherchez Windows PowerShell, faites un clic droit dessus et sélectionnez Exécuter en tant qu'administrateur.
Tapez le script suivant dans la console :
Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4726} | Select-Object -Property *
Appuyez sur Entrée.
Ce script affiche les comptes d'utilisateurs supprimés. Dans le résultat, sous Message > Object, vous voyez affichés le nom du compte et l'ID de sécurité de l'utilisateur qui a effectué la suppression sur l'utilisateur cible.

Remarque : Si vous utilisez une station de travail, le script suivant doit être exécuté dans PowerShell :

Get-EventLog -LogName Security -ComputerName | Where-Object {$_.EventID -eq 4726} | Select-Object -Property *

où est le nom du contrôleur de domaine dans lequel vous voulez vérifier si la suppression a eu lieu.

Utilisation de l’Observateur d'événements

Appuyez sur Démarrer, recherchez Observateur d'événements, faites un clic droit dessus et sélectionnez Exécuter en tant qu'administrateur..
Dans la nouvelle fenêtre de l’Observateur d'événements, allez dans l’Observateur d'événements > Journaux Windows > Sécurité en utilisant le volet de gauche.
Dans le volet de droite, cliquez sur Filtrer le journal actuel.

Dans la nouvelle boîte de dialogue, entrez 4726 dans le champ intitulé <Tous les ID d'événement>.

Cliquez sur OK.
Une liste des événements correspondant à la suppression d'un compte d’utilisateur s’affiche. Double-cliquez sur un ID d'événement dans la liste pour afficher ses propriétés.
Dans la fenêtre Propriétés de l'événement, dans l'onglet Général, sous Objet > Nom du compte, vous pouvez voir l'utilisateur qui a effectué cette suppression.

Remarque : Si vous utilisez une station de travail, dans l'Observateur d'événements, faites un clic droit sur Observateur d'événements (local) dans le volet de gauche, puis cliquez sur Connexion à un autre ordinateur... et entrez le nom du contrôleur de domaine au format suivant :

The above two methods are complex and the insight provided is limited since it is impossible to keep track of each event as it occurs.

Découvrez qui a supprimé un compte utilisateur à l'aide de ManageEngine ADAudit Plus

Ouvrez la console ADAudit Plus et connectez-vous en tant qu'administrateur.
Naviguez vers Rapports > Active Directory > Gestion des utilisateurs > Utilisateurs récemment supprimés.

Vous obtiendrez une liste détaillée des comptes d'utilisateurs supprimés, de l'utilisateur qui a effectué la suppression, de l'heure de la suppression et du contrôleur de domaine dans lequel la suppression a été effectuée, ainsi qu'une représentation graphique.

ADAudit Plus vous permet de surveiller en temps réel l'accès et les modifications des objets AD.

Download 30-day, free trial

Related How to

How to detect who deleted user account