Active Directory Audit »

Come rilevare chi ha eliminato un account utente in Active Directory

Inizia la tua prova gratuita

Gli account utente in Active Directory (AD) consentono ai dipendenti di accedere al sistema. Può capitare che un amministratore negligente o un utente malintenzionato elimini un account utente, con conseguente perdita dell'accesso al sistema e ai file del dipendente. In queste situazioni, esistono modi per scoprire chi ha eseguito l'eliminazione.

Con PowerShell:

Esegui le seguenti azioni sul controller di dominio (DC):

  1. Premi Start, cerca Windows PowerShell, fai clic con il pulsante destro del mouse su di esso e seleziona Esegui come amministratore.
  2. Digita il seguente script nella console:
    Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4726} | Select-Object -Property *
  3. Premi Invio.
  4. Questo script mostrerà gli account utente eliminati. Nell'output, in Messaggio > Oggetto, è possibile visualizzare il nome dell'account e l'ID di sicurezza dell'utente che ha eseguito l'eliminazione dell'utente di destinazione.
active directory che ha eliminato un utente

Nota: se utilizzi una workstation, devi eseguire il seguente script PowerShell:

Get-EventLog -LogName Security -ComputerName <DC name>| Where-Object {$_.EventID -eq 4726} |
Select-Object -Property *

dove è il nome del controller di dominio in cui desideri verificare se sia stata eseguita un'eliminazione.

active directory che ha eliminato un utente

Utilizzo del Visualizzatore eventi

  1. Premi Start, cerca e fai clic con il pulsante destro su Visualizzatore eventi e seleziona Esegui come amministratore.
  2. Nella nuova finestra del Visualizzatore eventi, accedi a Visualizzatore eventi > Registri di Windows > Sicurezza utilizzando il riquadro a sinistra.
  3. Nel riquadro di destra, fai clic su Filtro registro corrente.
active directory che ha eliminato un utente
  1. Nella nuova finestra di dialogo, inserisci 4726 nel campo etichettato <Tutti gli ID evento>.
active directory che ha eliminato un utente
  1. Fai clic su OK.
  2. Qui puoi vedere un elenco di eventi corrispondenti all'eliminazione dell'account utente. Fai doppio clic su un ID evento nell'elenco per visualizzarne le proprietà.
  3. Nella finestra Proprietà evento, nella scheda Generale, in Oggetto > Nome account, puoi vedere l'utente che ha eseguito l'eliminazione.
active directory che ha eliminato un utente

Nota: se utilizzi una workstation, nel Visualizzatore eventi, fai clic con il pulsante destro del mouse su Visualizzatore eventi (computer locale) nel riquadro sinistro, quindi fai clic su Connetti a un altro computer... e immetti il nome del controller di dominio nel seguente formato:

<domain name>\<domain controller name>
active directory che ha eliminato un utente

I due metodi precedenti sono complessi e le informazioni fornite sono limitate, poiché è impossibile tenere traccia di ogni evento nel momento in cui si verifica.

Scopri chi ha eliminato un account utente utilizzando ADAudit Plus di ManageEngine

  1. Apri la console ADAudit Plus e accedi come amministratore.
  2. Passa a Reports > Active Directory > User Management > Recently deleted users.

Verrà visualizzato un elenco dettagliato degli account utente eliminati, l'utente che ha eseguito l'eliminazione, l'ora dell'eliminazione e il controller di dominio in cui è stata eseguita l'eliminazione, insieme a una rappresentazione grafica.

active directory che ha eliminato un utente

ADAudit Plus consente di monitorare l'accesso e le modifiche agli oggetti AD in tempo reale.

Scarica la versione di prova gratuita di 30 giorni

Guida correlata

  •