ADAudit Plus »

Hoe u kunt detecteren wie een gebruikersaccount in Active Directory heeft verwijderd

Start uw gratis proefperiode

Gebruikersaccounts in Active Directory (AD) stellen medewerkers in staat om in te loggen en toegang te krijgen tot een systeem. Het kan gebeuren dat een nalatige beheerder of een aanvaller een gebruikersaccount verwijdert, waardoor de werknemer geen toegang meer heeft tot het systeem en de bestanden. In dergelijke situaties zijn er manieren om erachter te komen wie de verwijdering heeft uitgevoerd.

PowerShell gebruiken:

Voer de volgende acties uit op de domeincontroller (DC):

  1. Klik op Start en zoek Windows PowerShell, klik er met de rechtermuisknop op en selecteer Uitvoeren als beheerder.
  2. Typ het volgende script in de console:
    Get-EventLog -LogName Security | Where-object {$_. EventID -eq 4726} | Select-Object -Property *
  3. Klik op Invoeren.
  4. In dit script worden verwijderde gebruikersaccounts weergegeven. In de uitvoer, onder Bericht > Onderwerp, worden de accountnaam en het beveiligings-ID weergegeven van de gebruiker die de verwijdering op de beoogde gebruiker heeft uitgevoerd.
active directory wie heeft een gebruiker verwijderd

Notitie: Als u een werkstation gebruikt, moet het volgende script worden uitgevoerd op PowerShell:

Get-EventLog -LogName Security-ComputerName <DC name="">| Where-object {$_. EventID -eq 4726} |</DC>
Select-Object -Property *

waar is de naam van de DC waar u wilt controleren of de verwijdering is uitgevoerd.

active directory wie heeft een gebruiker verwijderd

De Logboeken gebruiken

  1. Klik op Start, zoek naar Logboeken, klik er met de rechtermuisknop op en selecteer Uitvoeren als beheerder.
  2. Navigeer in het nieuwe Logboeken venster naar Logboeken > Windows logboeken > beveiliging met behulp van het linkerdeelvenster.
  3. Klik in het rechterdeelvenster op Huidig logboek filteren
active directory wie heeft een gebruiker verwijderd
  1. Voer in het nieuwe dialoogvenster 4726 in het veld met het label <All event="" ids=""> in.
active directory wie heeft een gebruiker verwijderd
  1. Klik op OK.
  2. Hier ziet u een lijst met gebeurtenissen die overeenkomen met het verwijderen van een gebruikersaccount. Dubbelklik op een Gebeurtenis-ID in de lijst om de eigenschappen ervan weer te geven.
  3. In het venster Gebeurteniseigenschappen, op het tabblad Algemeen onder Onderwerp > Accountnaam, kunt u de gebruiker zien die deze verwijdering heeft uitgevoerd.
active directory wie heeft een gebruiker verwijderd

Notitie: Als u een werkstation gebruikt, klikt u in de Logboeken met de rechtermuisknop op Logboeken (lokaal) in het linkerdeelvenster en klikt u op Verbinden met een andere computer... en voert u de naam van de DC in het volgende formaat in:

<domain name="">\<domain controller name>
active directory wie heeft een gebruiker verwijderd

De bovenstaande twee methoden zijn complex en het geboden inzicht is beperkt, omdat het onmogelijk is om elke gebeurtenis bij te houden terwijl deze zich voordoet.

Achterhalen wie een gebruikersaccount heeft verwijderd met ManageEngine ADAudit Plus

  1. Open de ADAudit Plus-console en log in als beheerder.
  2. Navigeer naar Rapporten > Active Directory > Gebruikersbeheer > Onlangs verwijderde gebruikers.

Hier ziet u een gedetailleerde lijst met verwijderde gebruikersaccounts, de gebruiker die de verwijdering heeft uitgevoerd, het tijdstip van verwijdering, de DC waarin de verwijdering is uitgevoerd en een grafische weergave.

active directory wie heeft een gebruiker verwijderd

Met ADAudit Plus kunt u realtime toegang tot AD-objecten en wijzigingen controleren.

Download de 30 dagen gratis proefperiode

Related How to

ADAudit Plus Trusted By