Hur man upptäcker vem som tog bort ett användarkonto i Active Directory

Starta din kostnadsfria provperiod

Användarkonton i Active Directory (AD) gör det möjligt för användare att logga in och få åtkomst till ett system. Ibland kan en oaktsam administratör eller en angripare ta bort ett användarkonto, vilket leder till att den anställde förlorar åtkomst till sitt system och sina filer. I sådana situationer finns det sätt att ta reda på vem som utförde borttagningen.

Användning av PowerShell:

Utför de följande åtgärderna i domänkontrollanten (DC):

  1. Tryck på Start, sök efter Windows PowerShell, högerklicka på den och välj Kör som administratör.
  2. Skriv in följande skript i konsolen:
    Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4726} | Select-Object -Property *
  3. Tryck på Enter.
  4. Detta skript kommer att visa borttagna användarkonton. I utmatningen, under Meddelande > Ämne, kan man se kontonamnet och säkerhets-ID:t för användaren som utförde borttagningen av målanvändaren.
Active Directory vem tog bort en användare

OBS! Om du använder en arbetsstation ska följande skript köras på PowerShell:

Get-EventLog -LogName Security -ComputerName <DC name>| Where-Object {$_.EventID -eq 4726} |
Select-Object -Property *

varär namnet på den DC där du vill kontrollera om borttagningen ägde rum.

Active Directory vem tog bort en användare

Användning av Loggboken

  1. Tryck på Start, sök efter Loggbok, högerklicka på den och välj Kör som administratör.
  2. I det nya fönstret för Loggbok går du till Loggbok > Windows-loggar > Säkerhet med hjälp av vänster ruta.
  3. I den högra rutan, klickar du på Filtrera nuvarande logg.
Active Directory vem tog bort en användare
  1. I det nya dialogfönstret anger du 4726 i fältet märkt som <Alla händelse-ID:n>.
Active Directory vem tog bort en användare
  1. Klicka på OK.
  2. Här kan du se lista över händelser som motsvarar till borttagning av användarkonton. Dubbelklicka på ett händelse-ID i listan för att se dess Egenskaper.
  3. I fönstret Händelseegenskaper, i fliken Allmänt, under Ämne > Kontonamn kan du se användaren som utförde denna borttagning.
Active Directory vem tog bort en användare

OBS! Om du använder en arbetsstation högerklickar du på Loggbok (Lokal) i den vänstra rutan i loggboken och klickar på Anslut till en annan dator... och anger namnet på DC i det följande formatet:

<domain name>\<domain controller name>
Active Directory vem tog bort en användare

De två ovanstående metoderna är komplexa och insikterna är begränsade eftersom det är omöjligt att hålla koll på när varje händelse inträffar.

Få reda på vem som tog bort ett användarkonto med hjälp av ManageEngine ADAudit Plus

  1. Öppna ADAudit Plus-konsolen och logga in som administratör.
  2. Navigera till Rapporter > Active Directory > Användarhantering > Nyligen borttagna användare.

Detta kommer att visa dig ett detaljerad lista över borttagna användarkonton, användaren som utförde borttagningen, tidpunkten för borttagning och DC som borttagningen utfördes i, tillsammans med en grafisk representation.

Active Directory vem tog bort en användare

ADAudit Plus gör det möjligt för dig att övervaka åtkomst till och ändringar av AD-objekt i realtid.

Ladda ner en 30-dagars kostnadsfri provversion

Related How to

ADAudit Plus