Come scoprire chi ha eliminato un account computer in Active Directory

Inizia la tua prova gratuita

Quando si tratta di attività di accesso al dispositivo, un account computer è importante quanto un account utente. Se l'account computer Active Directory (AD) di un utente viene eliminato, non sarà in grado di accedere al proprio dispositivo per continuare con il proprio lavoro. Questo può costare molto alle organizzazioni in termini di tempo impiegato per recuperare l'account del computer e perdita di produttività da parte del dipendente che non riesce ad accedere. Scoprire chi ha eliminato l'account computer può aiutare gli amministratori a capire perché si è verificata l'eliminazione e come evitare eventi futuri. Continua a leggere per scoprire come.

Controllo nativo di Windows
ADAudit Plus

Passaggi per trovare chi ha eliminato gli account computer utilizzando PowerShell:

Esegui le seguenti azioni sul controller di dominio (DC):

Premi Start, cerca Windows PowerShell, clicca con il pulsante destro del mouse su di esso e seleziona Esegui come amministratore.
Digita il seguente script nella console:
Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4743} | Select-Object -Property *

Premi Invio.
Questo script mostrerà gli account utente eliminati. Nell'output, sotto Messaggio > Soggetto > Nome dell'account, è possibile visualizzare il nome dell'account e l'ID di sicurezza dell'utente che ha eseguito l'eliminazione del computer di destinazione.

Nota: se utilizzi una workstation, devi eseguire il seguente script su PowerShell:

Get-EventLog -LogName Security -ComputerName <DC name>| Where-Object {$_.EventID -eq 4743} | Select-Object -Property *

dove <DC name> è il nome del controller di dominio in cui desideri verificare i dettagli dell'eliminazione avvenuta.

Attraverso il controllo nativo, è possibile cercare eventi per tenere d'occhio le eliminazioni di oggetti. Tuttavia, questo diventa poco pratico quando si ha a che fare con migliaia di account di computer e si deve tenere traccia di ogni evento man mano che si verifica.

Il processo di cui sopra può essere semplificato utilizzando ADAudit Plus, software di controllo Active Directory in tempo reale. ADAudit Plus fornisce informazioni dettagliate su chi ha eliminato cosa, quando e da dove per ogni evento di modifica di AD che si verifica nell'organizzazione, inclusa la gestione del computer.

Scarica la versione di prova gratuita di 30 giorni

Passaggi per trovare chi ha eliminato gli account del computer utilizzando
ADAudit Plus di ManageEngine

Apri la console di ADAudit Plus e accedi come amministratore.
Passa a Reports > Active Directory > Computer Management > Recently Deleted Computers.

Ottieni preziose informazioni aggiuntive con l'aiuto di report curati come gli utenti che hanno effettuato l'accesso a più computer.

Monitora in modo selettivo gli account computer critici ordinando questi report in base a criteri quali il nome del computer, il nome utente del chiamante, il nome del computer, l'ora di creazione/eliminazione/modifica e così via.
Ottieni preziose informazioni aggiuntive con l'aiuto di report curati come gli utenti che hanno effettuato l'accesso a più computer.

Vantaggi dell'utilizzo di ADAudit Plus rispetto al controllo nativo:

ADAudit Plus controlla e segnala tutte le modifiche di Active Directory in modo coerente, garantendo un audit trail infallibile. Non è necessario ricordare l'ID evento per ogni attività e cercarlo, come nel caso del controllo nativo.
Imposta avvisi per attività insolite utilizzando l'apprendimento automatico e automatizza le risposte a questi avvisi per rilevare e rispondere alle minacce interne.
I report di conformità pronti all'uso di ADAudit Plus ti aiutano a soddisfare i requisiti di normative quali SOX, HIPAA, GLBA, PCI-DSS, FISMA e GDPR.