Wie man erkennt, wer ein Computerkonto in Active Directory gelöscht hat

Netwrix Auditor for Active Directory

1. Netwrix Auditor starten → Navigieren Sie zu "Suche" → Klicken Sie auf "Erweiterter Modus", falls nicht ausgewählt → Richten Sie die folgenden Filter ein:
   • Filter = "Datenquelle"
     Operator = "Gleich"
     Wert = "Active Directory"
   • Filter = "Objekttyp"
     Operator = "Gleich"
     Wert = "Computer"
   • Filter = "Aktion"
     Operator = "Gleich"
     Wert = "Entfernt"
2. Klicken Sie auf die Schaltfläche "Suchen" und überprüfen Sie, wer Computerkonten gelöscht hat.

Native Auditing

1. Führen Sie gpmc.msc aus → bearbeiten Sie „Default Domain Policy“ → Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen:
   • Lokale Richtlinien → Überwachungsrichtlinie → Überwachung von Kontenverwaltung → Definieren → Erfolg
   • Ereignisprotokoll → Definieren → Maximale Sicherheitsprotokollgröße auf 1 GB und Aufbewahrungsmethode für Sicherheitsprotokoll auf 'Ereignisse bei Bedarf überschreiben'.
2. Öffnen Sie ADSI Edit → Verbinden Sie sich mit dem Standardnamenskontext → Rechtsklick auf "DC=Domänenname" → Eigenschaften → Sicherheit (Tab) → Erweitert → Überwachung (Tab) → Klicken Sie auf "Hinzufügen" → Wählen Sie die folgenden Einstellungen:
   • Principal: Jeder; Typ: Erfolg; Gilt für: Dieses Objekt und alle untergeordneten Objekte; Berechtigungen: Löschen, Teilbaum löschen, Alle Eigenschaften schreiben → Klicken Sie auf „OK“.
3. Um zu definieren, welches Computerkonto gelöscht wurde, filtern Sie das Sicherheitsereignisprotokoll nach Ereignis-ID 4743.

Erfahren Sie mehr über Netwrix Auditor for Active Directory

Ermitteln Sie, wer Computerkonten gelöscht hat, um Authentifizierungsfehler zu vermeiden

Eine unsachgemäße Löschung eines Benutzerkontos kann ernsthafte Probleme für eine Organisation verursachen. Benutzer, deren Computerkonten gelöscht wurden, können sich nicht mehr mit ihrer Domänenauthentifizierung in IT-Systeme einloggen. Wenn sie bereits eingeloggt sind, werden sie Probleme haben, auf ihre E-Mails, gemeinsame Ordner, SharePoint und andere Ressourcen zuzugreifen. Zusätzlich zu diesem Produktivitätsverlust müssen IT-Mitarbeiter Zeit aufwenden, um zu untersuchen, warum ein Authentifizierungsfehler aufgetreten ist. Um diese Probleme zu vermeiden, ist es äußerst wichtig, die Löschung von Computerkonten rechtzeitig zu erkennen.

Netwrix Auditor for Active Directory ermöglicht vollständige Transparenz über Aktivitäten im Active Directory und in der Gruppenrichtlinie, indem es aussagekräftige Audit-Daten über Zugriffsereignisse und Änderungen liefert. Anpassbare E-Mail-Benachrichtigungen informieren IT-Administratoren, wenn jemand Computerkonten löscht, sodass sie schnell auf unerwünschte Löschungen reagieren und die Probleme verhindern können, die entstehen, wenn das System einen Benutzer nicht authentifizieren konnte. Audit-Berichte enthalten aussagekräftige Details, wie wer welches Computerkonto gelöscht hat und wann und wo die Änderung stattgefunden hat, damit Admins untersuchen und ähnliche Probleme in der Zukunft verhindern können.