如何检测谁删除了 Active Directory 中的用户帐户
Active Directory (AD) 中的用户帐户使员工能够登录并访问系统,有时,疏忽大意的管理员或外部威胁者可能会删除用户帐户,从而导致员工无法访问其系统和文件。在这种情况下,有一些方法可以找出谁执行了删除。
方法一:Windows 本机审核
使用 PowerShell:
在域控制器 (DC) 上执行以下操作:
- 按“开始”,搜索“Windows PowerShell”,右键单击它,然后选择“以管理员身份运行”。
- 在控制台中键入以下脚本:Get-EventLog -LogName 安全性 |where-object {$_.事件 ID -eq 4726} |Select-Object 属性 *
- 按 Enter 键。
- 此脚本将显示已删除的用户帐户。在输出中,在“消息>主题”下,可以看到对目标用户执行删除操作的用户的帐户名和安全 ID。
注意:如果使用的是工作站,则应在 PowerShell 上运行以下脚本:
Get-EventLog -LogName 安全性 -ComputerName <DC 名称>|where-object {$_.事件 ID -eq 4726} |
Select-Object 属性 *
其中 <DC 名称> 是要在其中检查所发生删除的详细信息的域控制器的名称。
使用事件查看器
- 按“开始”,搜索“事件查看器”,右键单击它,然后选择“以管理员身份运行”。
- 在新的“事件查看器”窗口中,使用左窗格导航到“事件查看器”>“Windows 日志”>“安全性”。
- 在右侧窗格中,单击“筛选当前日志”。
- 在新对话框中,在标记为<所有事件 ID>的字段中输入 4726。
- 单击“确定”。
- 在这里,您可以看到与用户帐户删除相对应的事件列表。双击列表中的事件 ID 以查看其属性。
- 在“事件属性”窗口的“常规”选项卡的“使用者”>“帐户名称”下,可以看到执行此删除的用户。
注意:如果您使用的是工作站,请在事件查看器中,右键单击左侧窗格中的“事件查看器(本地)”,然后单击“连接到另一台计算机...,然后按以下格式输入配送中心的名称:
<域名>\<域控制器名称>
上述两种方法都很复杂,并且提供的见解有限,因为不可能在每个事件发生时对其进行跟踪。
方法二:使用ADAudit Plus
- 打开ADAudit Plus控制台并以管理员身份登录。
- 导航到“Active Directory >用户管理”>“报告”>“最近删除的用户”。
这将显示已删除用户帐户的详细列表、执行删除的用户、删除时间和执行删除的 DC,以及图形表示形式。
ADAudit Plus使您能够监控实时AD对象的访问和修改。
如何查找谁删除了 Active Directory 中的计算机帐户
当涉及到设备登录活动时,计算机帐户与用户帐户一样重要,如果删除了用户的 Active Directory(AD)计算机帐户,他们将无法登录其设备以继续其工作,这可能会使组织花费大量时间恢复计算机帐户,以及无法登录的员工的生产力损失。找出谁删除了计算机帐户可以帮助管理员了解删除发生的原因以及如何避免将来发生。
方法一:Windows 本机审核
使用 PowerShell 查找谁删除了计算机帐户的步骤
在域控制器 (DC) 上执行以下操作:
- 单击“开始”,搜索“Windows PowerShell”,右键单击它,然后选择“以管理员身份运行”。
- 在控制台中键入以下脚本:Get-EventLog -LogName 安全性 |where-object {$_.事件 ID -eq 4743} |Select-Object 属性 *
- 按 Enter 键。
- 此脚本将显示已删除的用户帐户。在输出中,在“邮件>主题”>“帐户名称”下,可以找到对目标计算机帐户执行删除操作的用户的名称和安全 ID。
注意:如果使用的是工作站,则应在 PowerShell 上运行以下脚本:
Get-EventLog -LogName 安全性 -ComputerName <DC 名称>|where-object {$_.事件 ID -eq 4743} |Select-Object 属性 *
其中 <DC 名称> 是要在其中检查所发生删除的详细信息的域控制器的名称。
通过本机审计,您可以搜索事件以密切关注对象删除。但是,当您必须处理数千个计算机帐户,并且需要跟踪每个事件发生时,这变得不切实际。
方法二:使用ADAudit Plus
通过使用ADAudit Plus实时Active Directory审计软件,可以简化上述过程。ADAudit Plus提供有关组织中发生的每个AD更改事件(包括计算机管理)的删除者、删除时间和删除位置的详细信息。
- 打开ADAudit Plus控制台并以管理员身份登录。
- 导航到“Active Directory >计算机管理>报告”>“最近删除的计算机”。
与本机审计相比,使用ADAudit Plus的优势:
- ADAudit Plus始终如一地审核和报告所有Active Directory更改,确保万无一失的审计跟踪。无需记住每个活动的事件 ID 并对其进行搜索,本机审核就是这种情况。
- 使用机器学习为异常活动设置警报,并自动响应这些警报,以检测和响应内部威胁。
- ADAudit Plus开箱即用的合规性报告可帮助您满足SOX、HIPAA、GLBA、PCI-DSS、FISMA和GDPR等法规要求。