Active Directory'de bir kullanıcı hesabını kimin sildiğinin tespit edilmesi

Ücretsiz denemenizi başlatın

Active Directory'deki (AD) kullanıcı hesapları, çalışanların oturum açmasını ve bir sisteme erişim sağlamasını mümkün kılar. Bazen yanlışlıkla dikkatsiz bir yönetici veya kasıtlı olarak bir saldırgan bir kullanıcı hesabını silebilir ve bu da çalışanın sistemine ve dosyalarına erişimini kaybetmesine neden olabilir. Bu gibi durumlarda, silme işlemini kimin gerçekleştirdiğini bulmanın yolları vardır.

PowerShell'i kullanarak:

Etki Alanı Denetleyicisinde (DC) aşağıdaki işlemleri gerçekleştirin:

  1. Başlat düğmesine basın, Windows PowerShell için arama yapın, üzerine sağ tıklayın ve Yönetici olarak çalıştır seçimini yapın.
  2. Konsola aşağıdaki komut dosyası içeriğini yazın:
    Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4726} | Select-Object -Property *
  3. Enter tuşuna basın.
  4. Bu komut dosyası silinen kullanıcı hesaplarını görüntüler. Çıktıda, Mesa j> Konu alanından, hedef kullanıcıda silme işlemini gerçekleştiren kullanıcının Hesap Adı ve güvenlik kimliği görüntülenebilir.
Active Directory'de bir kullanıcıyı kimin sildiği

Not: Bir iş istasyonu kullanıyorsanız, PowerShell'de aşağıdaki komut dosyası çalıştırılmalıdır:

Get-EventLog -LogName Security -ComputerName <DC name>| Where-Object {$_.EventID -eq 4726} |
Select-Object -Property *

buradasilme işleminin gerçekleşip gerçekleşmediğini kontrol etmek istediğiniz DC'nin adıdır.

Active Directory'de bir kullanıcıyı kimin sildiği

Olay Görüntüleyicisi Kullanılarak

  1. Başlat düğmesine basın, Olay Görüntüleyicisi için arama yapın, üzerine sağ tıklayın ve Yönetici olarak çalıştır seçimini yapın.
  2. Yeni Olay Görüntüleyicisi penceresinde, sol bölmeyi kullanarak Olay Görüntüleyicisi > Windows Günlükleri > Güvenlik alanına gidin.
  3. Sağ bölmede Geçerli Günlüğü Filtrele seçeneğine tıklayın.
Active Directory'de bir kullanıcıyı kimin sildiği
  1. Yeni iletişim kutusunda, <Tüm Olay Kimlikleri> olarak etiketlenmiş alana 4726 değerini girin.
Active Directory'de bir kullanıcıyı kimin sildiği
  1. Tamam’a tıklayın.
  2. Burada, kullanıcı hesabının silinmesine karşılık gelen olayların bir listesini görebilirsiniz. Özelliklerini görüntülemek üzere listedeki bir Olay Kimliğine çift tıklayın.
  3. Olay Özellikleri penceresinde, Genel sekmesinin Konu > Hesap Adı alanına giderek bu silme işlemini gerçekleştiren kullanıcıyı görebilirsiniz.
Active Directory'de bir kullanıcıyı kimin sildiği

Not: Bir iş istasyonu kullanıyorsanız, Olay Görüntüleyicisi'nde, sol bölmedeki Olay Görüntüleyicisi (Yerel) seçeneğine sağ tıklayın ve Başka Bir Bilgisayara Bağlan... öğesine tıklayarak aşağıdaki biçimde DC'nin adını girin:

<etki alanı adı>\<etki alanı denetleyicisi adı>
Active Directory'de bir kullanıcıyı kimin sildiği

Yukarıdaki iki yöntem karmaşık olmakla birlikte her bir olayı gerçekleştiği anda takip etmek imkansız olduğundan bunların sunabileceği içgörü de sınırlıdır.

ManageEngine ADAudit Plus kullanarak bir kullanıcı hesabını kimin silindiğinin öğrenilmesi

  1. ADAudit Plus konsolunu açın ve yönetici olarak oturum açın.
  2. Raporlar > Active Directory > Kullanıcı Yönetimi > Son silinen kullanıcılar alanına gidin.

Bu silinen kullanıcı hesaplarının ayrıntılı listesini, silme işlemini gerçekleştiren kullanıcıyı, silme zamanını ve silme işleminin gerçekleştirildiği DC'yi bir grafikle size gösterecektir.

Active Directory'de bir kullanıcıyı kimin sildiği

ADAudit Plus, gerçek zamanlı AD nesne erişimini ve değişikliklerini izlemenizi sağlar.

30 günlük ücretsiz denemeyi indirin

Related How to

Ana Sayfa »