Cómo detectar quién eliminó una cuenta de usuario en Active Directory

Netwrix Auditor for Active Directory

1. Ejecute Netwrix Auditor → Vaya a "Buscar" → Haga clic en "Modo avanzado" si no está seleccionado → Configure los siguientes filtros:
   • Filter = "Fuente de datos"
     Operator = "Igual a"
     Value = "Active Directory"
   • Filter = "Tipo de objeto"
     Operador = "Igual"
     Valor = "Usuario"
   • Filter = "Acción"
     Operator = "Igual a"
     Value = "Eliminado"
2. Haga clic en el botón "Buscar" y revise quién eliminó cuentas de usuario.

Auditoría Nativa

1. Ejecute GPMC.msc → abra “Directiva de Dominio Predeterminada” → Configuración del Equipo → Políticas → Configuración de Windows → Configuración de Seguridad:
   • Políticas locales → Política de auditoría → Auditoría de gestión de cuentas → Definir → Éxito
   • Registro de eventos → Definir → Tamaño máximo del registro de seguridad en 1gb y Método de retención del registro de seguridad en Sobrescribir eventos según sea necesario.
2. Abra ADSI Edit → Conéctese al contexto de nomenclatura predeterminado → haga clic derecho en “DC=nombre de dominio” → Propiedades → Seguridad (pestaña) → Avanzado → Auditoría (pestaña) → Haga clic en “Agregar” → Elija las siguientes configuraciones:
   • Principal: Todos
   • Tipo: Éxito
   • Applies to: This object and all descendant objects
   • Permisos: Eliminar todos los objetos secundarios → Haga clic en “OK”.
3. Para definir qué cuenta de usuario fue eliminada y quién la eliminó, filtre el Registro de eventos de seguridad para el ID de evento 4726.

Aprenda más sobre Netwrix Auditor for Active Directory

Detecte e investigue la eliminación de cuentas de usuario para evitar la indisponibilidad del sistema

Cuando alguien elimina cuentas de usuario, estos usuarios no podrán iniciar sesión en los sistemas de TI utilizando la autenticación de dominio desde cualquier computadora dentro de la organización. Si eliminas una cuenta de usuario mientras el usuario está conectado, el usuario perderá acceso al correo electrónico, SharePoint, SQL Server, carpetas compartidas y otros sistemas. Por lo tanto, es esencial monitorear las eliminaciones de cuentas y determinar rápidamente quién eliminó una cuenta de usuario, para que puedas restaurar cualquier cuenta eliminada incorrectamente y minimizar el riesgo de interrupción del negocio y la indisponibilidad del sistema.

Netwrix Auditor for Active Directory ofrece análisis de seguridad sobre lo que está sucediendo en Active Directory y Group Policy. Te permite seguir toda la actividad en Active Directory, incluyendo cuándo alguien eliminó una cuenta de usuario. También automatiza las tareas de reporte al permitir que los profesionales de TI se suscriban a informes predefinidos que se entregan por correo electrónico, manteniéndolos informados de quién eliminó cualquier cuenta, y dónde y cuándo se hizo. También pueden generar informes personalizados utilizando la Búsqueda Interactiva para detectar e investigar actividades sospechosas, y guardar sus criterios de búsqueda para usarlos más tarde.