ADAudit Plus » Cómo detectar quién eliminó una cuenta de usuario en Active Directory

¿Cómo saber quién eliminó usuarios en Active Directory?

Comience su prueba gratuita

Las cuentas de usuario en Active Directory (AD) permiten a los empleados iniciar sesión y obtener acceso a un sistema. A veces, un administrador negligente o un atacante puede eliminar una cuenta de usuario, lo que hace que el empleado pierda el acceso a su sistema y archivos. En tales situaciones, hay formas de averiguar quién realizó la eliminación.

Uso de PowerShell:

Realice las siguientes acciones en el controlador de dominio (DC):

  1. Presione Inicio, busque Windows PowerShell, haga clic con el botón derecho del ratón sobre él y seleccione Ejecutar como administrador.
  2. Escriba el siguiente script en la consola:
    Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4726} | Select-Object -Property *
  3. Presione Entrar.
  4. Este script mostrará las cuentas de usuario eliminadas. En la salida, bajo Mensaje > Asunto, se pueden ver el nombre de la cuenta y el ID de seguridad del usuario que realizó la eliminación en el usuario de destino.
Cómo detectar quién eliminó una cuenta de usuario en Active Directory - screenshot 1

Nota: Si está utilizando una estación de trabajo, el siguiente script debe ejecutarse en PowerShell:

Get-EventLog -LogName Security -ComputerName <DC name>| Where-Object {$_.EventID -eq 4726} |
Select-Object -Property *

donde está el nombre del DC en el que desea comprobar si se realizó la eliminación.

Cómo detectar quién eliminó una cuenta de usuario en Active Directory - screenshot 2

Uso del Visor de eventos

  1. Presione Inicio, busque Visor de eventos, haga clic con el botón derecho del ratón sobre él y seleccione Ejecutar como administrador.
  2. En la nueva ventana del Visor de eventos, vaya a Visor de eventos > Registros de Windows > Seguridad mediante el panel izquierdo.
  3. En el panel derecho, haga clic en Filtrar registro actual.
Cómo detectar quién eliminó una cuenta de usuario en Active Directory - screenshot 3
  1. En el nuevo cuadro de diálogo, escriba 4726 en el campo etiquetado .
Cómo detectar quién eliminó una cuenta de usuario en Active Directory - screenshot 4
  1. Haga clic en Aceptar.
  2. Aquí puede ver una lista de eventos correspondientes a la eliminación de la cuenta de usuario. Haga doble clic en un ID de evento en la lista para ver sus propiedades.
  3. En la ventana Propiedades del evento, en la pestaña General, en Asunto > Nombre de cuenta, puede ver el usuario que realizó esta eliminación.
Cómo detectar quién eliminó una cuenta de usuario en Active Directory - screenshot 5

Nota: Si está utilizando una estación de trabajo, en el Visor de eventos, haga clic con el botón derecho en Visor de eventos (local) en el panel izquierdo y haga clic en Conectarse a otro equipo... y especifique el nombre del DC en el siguiente formato:

\
Cómo detectar quién eliminó una cuenta de usuario en Active Directory - screenshot 6

Los dos métodos anteriores son complejos y la información proporcionada es limitada, ya que es imposible realizar un seguimiento de cada evento a medida que ocurre.

Descubra quién eliminó una cuenta de usuario con ManageEngine ADAudit Plus

  1. Abra la consola ADAudit Plus e inicie sesión como administrador.
  2. Vaya a Informes > Active Directory > Administración de usuarios > Usuarios eliminados recientemente.

Esto le mostrará una lista detallada de las cuentas de usuario eliminadas, el usuario que realizó la eliminación, la hora de la eliminación y el DC en el que se realizó la eliminación, junto con una representación gráfica.

Cómo detectar quién eliminó una cuenta de usuario en Active Directory - screenshot 7

ADAudit Plus le permite monitorizar el acceso y las modificaciones de objetos de AD en tiempo real.

Comience su prueba gratuita
Satisfaga todas sus necesidades de auditoría y de seguridad de TI con ADAudit Plus.
Active Directory Workstation Servidores de archivos Servidores Windows  Cumplimiento Productos relacionados