Comment détecter qui a supprimé un compte d'utilisateur dans Active Directory
Solution native vs. Netwrix Auditor for Active Directory
Netwrix Auditor for Active Directory
- Exécutez Netwrix Auditor → Allez dans "Recherche" → Cliquez sur "Mode avancé" si ce n'est pas sélectionné → Configurez les filtres suivants :
- Filter = "Source de données"
Operator = "Équivaut à"
Value = "Active Directory" - Filtre = "Type d'objet"
Opérateur = "Égal à"
Valeur = "Utilisateur" - Filter = "Action"
Operator = "Equals"
Value = "Removed"
- Filter = "Source de données"
- Cliquez sur le bouton « Rechercher » et examinez qui a supprimé des comptes d'utilisateurs.
Audit Natif
- Exécutez GPMC.msc → ouvrez la « Stratégie de domaine par défaut » → Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité :
- Stratégies locales → Stratégie d'audit → Audit de la gestion des comptes → Définir → Réussite
- Journal des événements → Définir → Taille maximale du journal de sécurité à 1 Go et Méthode de conservation du journal de sécurité sur Écraser les événements selon le besoin.
- Ouvrez ADSI Edit → Connectez-vous au contexte de nommage par défaut → clic droit sur “DC=nom de domaine” → Propriétés → Sécurité (Onglet) → Avancé → Audit (Onglet) → Cliquez sur “Ajouter” → Choisissez les paramètres suivants :
- Principal : Tout le monde
- Type : Succès
- S'applique à : Cet objet et tous les objets descendants
- Permissions : Supprimez tous les objets enfants → Cliquez sur « OK ».
- Pour déterminer quel compte d'utilisateur a été supprimé et qui l'a supprimé, filtrez le journal des événements de sécurité pour l'ID d'événement 4726.
En savoir plus sur Netwrix Auditor for Active Directory
Détectez et enquêtez sur les suppressions de comptes utilisateurs pour éviter l'indisponibilité du système
Lorsqu'une personne supprime des comptes d'utilisateurs, ces utilisateurs ne pourront plus se connecter aux systèmes informatiques en utilisant l'authentification de domaine depuis n'importe quel ordinateur de l'organisation. Si vous supprimez un compte d'utilisateur pendant que l'utilisateur est connecté, celui-ci perdra l'accès à l'email, SharePoint, SQL Server, aux dossiers partagés et à d'autres systèmes. Par conséquent, il est essentiel de surveiller les suppressions de comptes et de déterminer rapidement qui a supprimé un compte d'utilisateur, afin de pouvoir restaurer tout compte supprimé de manière inappropriée pour minimiser le risque de perturbation des affaires et d'indisponibilité du système.
Netwrix Auditor for Active Directory fournit des analyses de sécurité sur ce qui se passe dans Active Directory et la stratégie de groupe. Il vous permet de suivre toute l'activité dans Active Directory, y compris lorsque quelqu'un a supprimé un compte d'utilisateur. Il automatise également les tâches de reporting en permettant aux professionnels de l'informatique de s'abonner à des rapports prédéfinis qui sont livrés par e-mail, les tenant informés de qui a supprimé un compte, ainsi que du lieu et du moment où cela a été fait. Ils peuvent également générer des rapports personnalisés en utilisant la Recherche Interactive pour détecter et enquêter sur des activités suspectes, et sauvegarder leurs critères de recherche pour une utilisation ultérieure.
Partager sur