事件 ID 4726：用户帐户已删除 [修复]

我们的一些读者抱怨在域控制器中看到 Windows 安全事件 4726。事件日志指示已删除用户帐户以及有关记录的事件的其他详细信息。但是，本指南将引导您了解如何修复事件 ID。

此外，您还可以阅读有关事件 ID 7023 错误的信息以及在 Windows 11 上解决它的一些修复程序。

什么是事件 4726？

事件 ID 4726 是一个 Windows 安全事件，指示删除用户帐户。记录此事件时，用户帐户已被移除或从 Windows 活动目录中删除。

此事件通常记录在 Windows 域控制器上的安全事件日志中。

通过监视事件 ID 4726，系统管理员可以跟踪其 Windows 域环境中的用户帐户删除，并识别与用户帐户相关的任何未经授权或可疑的活动。

导致事件 ID 4726 的原因是什么？

各种因素都可能导致事件 ID 4726。下面是可能触发此事件的一些常见方案：

• 管理操作 – 具有足够权限的管理员或用户故意使用 Active Directory 工具或 PowerShell 命令删除了用户帐户。
• 帐户过期 – 如果用户帐户在特定日期或特定时间段后过期，则当存在过期条件时，系统可以自动删除该帐户。
• 帐户清理 – 作为日常维护或清理过程的一部分，有时可能会删除用户帐户。它可以用于从活动目录环境中删除非活动或未使用的帐户。
• 终止或离开 – 当员工离开组织时，可能会删除其用户帐户以撤销对网络资源的访问权限并维护安全性。
• 恶意活动 – 在未经授权的访问或黑客攻击的不幸情况下，具有足够权限的攻击者可能会删除用户帐户以中断操作、掩盖其踪迹或对组织造成损害。

这些因素在不同的计算机上可能会有所不同。无论如何，我们将讨论一些基本修复程序来解决问题。

如果看到事件 ID 4726，该怎么办？

1. 使用 ADSI 编辑启用审核

1. 按 + 键打开“运行”对话框，键入 ADSIEdit.msc，然后按 打开活动目录服务接口 （ADSI） 控制台。WindowsREnter
2. 右键单击左上角的“ADSI 编辑”选项，然后从下拉列表中选择“连接到”。
3. 在“连接设置”窗口中，单击“选择已知命名上下文”选项，然后在下拉菜单中选择“默认命名上下文”，然后单击“确定”。
4. 展开“默认命名上下文”选项，右键单击“DC=www，DC=域，DC=com”，然后从上下文菜单中选择“属性”。
5. 转到“安全”选项卡，然后单击“高级”以打开“高级安全设置”。
6. 选择“审核”选项卡，然后单击“添加”，为要监视其操作的用户添加审核条目。
7. 然后，单击“选择主体”选项。
   
8. 转到输入对象名称条目并键入所有人，单击检查名称按钮以验证名称，然后单击确定。
9. 在审核条目窗口中，单击类型选项，然后从下拉菜单中选择全部。
10. 单击应用于，然后从下拉菜单中选择此对象和所有后代对象。
11. 选中以下各项的复选框：完全控制、列出内容、读取所有属性和读取权限，然后单击“确定”按钮。
12. 在“高级安全设置”上，单击“应用”和“确定”按钮。
13. 关闭“ADSI 编辑”窗口。

获取事件 ID 4726 时，必须跟踪已删除的用户和计算机帐户。必须通过在活动目录服务接口（ADSI）中启用审核来完成。

2. 使用事件查看器检查 AD 中已删除的用户帐户和计算机

1. 左键单击“窗口”菜单上的“开始”，键入“事件查看器”，然后按 键。Enter
2. 现在，转到 Windows 日志并选择“安全性”。
3. 搜索事件 ID 4726（AD 用户/帐户删除的事件 ID）和事件 ID 4743（计算机帐户删除事件 ID）以标识用户和计算机帐户删除。
4. 然后，向下滚动以找到已删除的帐户、计算机对象和计算机帐户。

启用审核后，事件查看器将记录已删除的计算机和用户对象。

3. 使用 PowerShell 检测谁删除了帐户

1. 左键单击“窗口”图标，键入 PowerShell，然后单击“以管理员身份运行”。
2. 然后，输入以下内容并按：EnterGet-EventLog -LogName Security | Where-Object {$_.EventID -eq 4726} | Select-Object -Property *
3. 在“邮件>主题”下找到已删除的用户帐户。可以看到对目标用户执行删除操作的用户的帐户名和安全 ID。

总之，我们有一个关于如何清除Windows计算机上的事件日志的综合指南。此外，请阅读什么是事件 ID 4769 以及如何修复它。