Wie man erkennt, wer ein Benutzerkonto in Active Directory gelöscht hat

Netwrix Auditor for Active Directory

1. Netwrix Auditor starten → Navigieren Sie zu „Suche“ → Klicken Sie auf „Erweiterter Modus“, falls nicht ausgewählt → Richten Sie die folgenden Filter ein:
   • Filter = "Datenquelle"
     Operator = "Gleich"
     Wert = "Active Directory"
   • Filter = "Objekttyp"
     Operator = "Gleich"
     Wert = "Benutzer"
   • Filter = "Aktion"
     Operator = "Gleich"
     Wert = "Entfernt"
2. Klicken Sie auf die Schaltfläche "Suchen" und überprüfen Sie, wer Benutzerkonten gelöscht hat.

Native Auditing

1. Führen Sie GPMC.msc aus → öffnen Sie „Default Domain Policy“ → Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen:
   • Lokale Richtlinien → Überwachungsrichtlinie → Überwachung von Kontenverwaltung → Definieren → Erfolg
   • Ereignisprotokoll → Definieren → Maximale Sicherheitsprotokollgröße auf 1 GB und Aufbewahrungsmethode für Sicherheitsprotokolle auf 'Ereignisse bei Bedarf überschreiben'.
2. Öffnen Sie ADSI Edit → Verbinden Sie sich mit dem Standardnamenskontext → Rechtsklick auf „DC=Domänenname“ → Eigenschaften → Sicherheit (Registerkarte) → Erweitert → Überwachung (Registerkarte) → Klicken Sie auf „Hinzufügen“ → Wählen Sie die folgenden Einstellungen:
   • Hauptbenutzer: Alle
   • Typ: Erfolg
   • Gilt für: Dieses Objekt und alle untergeordneten Objekte
   • Berechtigungen: Löschen Sie alle untergeordneten Objekte → Klicken Sie auf „OK“.
3. Um zu definieren, welches Benutzerkonto gelöscht wurde und wer es gelöscht hat, filtern Sie das Sicherheitsereignisprotokoll nach Ereignis-ID 4726.

Erfahren Sie mehr über Netwrix Auditor for Active Directory

Erkennen und untersuchen Sie das Löschen von Benutzerkonten, um Systemausfälle zu vermeiden

Wenn jemand Benutzerkonten löscht, können diese Benutzer sich nicht mehr über die Domänenauthentifizierung von einem Computer innerhalb der Organisation in IT-Systeme einloggen. Wenn Sie ein Benutzerkonto löschen, während der Benutzer angemeldet ist, verliert der Benutzer den Zugriff auf E-Mails, SharePoint, SQL Server, gemeinsame Ordner und andere Systeme. Daher ist es unerlässlich, Kontolöschungen zu überwachen und schnell festzustellen, wer ein Benutzerkonto gelöscht hat, damit Sie ein fälschlicherweise gelöschtes Konto schnell wiederherstellen können, um das Risiko von Geschäftsunterbrechungen und Systemausfällen zu minimieren. 

Netwrix Auditor for Active Directory liefert Sicherheitsanalysen darüber, was in Active Directory und Gruppenrichtlinien vor sich geht. Es ermöglicht Ihnen, alle Aktivitäten in Active Directory zu verfolgen, einschließlich, wenn jemand ein Benutzerkonto gelöscht hat. Es automatisiert Berichtsaufgaben indem es IT-Profis ermöglicht, sich für vordefinierte Berichte anzumelden, die per E-Mail zugestellt werden, und sie so über das Löschen von Konten, sowie deren Ort und Zeitpunkt informiert. Sie können auch benutzerdefinierte Berichte mit der Interaktiven Suche erstellen, um verdächtige Aktivitäten zu erkennen und zu untersuchen, und ihre Suchkriterien für späteren Gebrauch speichern.