search

Event id delete user active directory

Ngày đăng: 05/01/2023
Trả lời: 0
Lượt xem: 187

  • Home
  • Windows
  • Windows Server

Posted by hutsonford 2021-09-01T18:43:36Z

Show

Had a user contact us today stating that they couldn't log into their PC.

Thinking it was a simple password issue, we went to unlock their account only to discover that their account no longer existed in AD.

My logs are not showing the account as having been deleted, disabled or expired.  

Anyone have a suggestion to take a look into?

14 Replies

  • Check the security logs for event id 4726. Also do you have the AD recycle bin enabled so you can restore the user?

    Was this post helpful? thumb_up thumb_down

  • Event id delete user active directory

    I have checked the viewer for 4726 (deleted), 4738 (changed), and 4781 (name changed).

    The AD recycle bin is not enabled unfortunately.  

    Was this post helpful? thumb_up thumb_down

  • Event id delete user active directory

    jrp78

    Event id delete user active directory

    This person is a verified professional.

    Verify your account to enable IT peers to see that you are a professional.

    ghost chili

    Windows Server Expert

    • check 81 Best Answers
    • thumb_up 259 Helpful Votes

    +1 on the recycle bin(IF you have it enabled). You have to be at or above DFL 2008R2 for this feature to be available. If you don't have it enabled, I would consider turning it on for future use. However, please note that once this is turned on, you can never rollback your DFL if you needed to for some reason. 
    To check for a deleted user(again if the recycle bin is turned on), you have to go to ADAC(Active Directoy Admin Center) instead of ADUC. From the root of your domain, you should see a container called "Deleted Objects". Within that container, you can search for deleted users. The default timeframe before accounts are deleted from the recycle bin is 60 days.

    You will find plenty of articles on how to enable the AD recycle bin if you want/need to turn it on.
    https://redmondmag.com/articles/2015/11/11/enable-the-active-directory-recycle-bin.aspx Opens a new window

    What is your current backup solution? Does it have any application aware capabilities? Veeam can restore AD accounts(if you have it setup for application aware processing) and it has saved me many times.

    Was this post helpful? thumb_up thumb_down

  • Event id delete user active directory

    jrp78

    Event id delete user active directory

    This person is a verified professional.

    Verify your account to enable IT peers to see that you are a professional.

    ghost chili

    Windows Server Expert

    • check 81 Best Answers
    • thumb_up 259 Helpful Votes

    Did someone possibly rename the account? Are there any attributes that you may be able to look through to ID the user even if someone changed the displayname and/or samaccountname?

    Was this post helpful? thumb_up thumb_down

  • Event id delete user active directory

    I've already recreated account...and I'm going to be talking to my manager about enabling the recycle bin.  My curiosity is more along the lines of finding out what could have possibly happened to it since its not showing up in the event viewer.

    1 found this helpful thumb_up thumb_down

  • Event id delete user active directory

    I dont think that the account was renamed or changed.  I would assume that event ID 4781 and 4738 would have found evidence of that.

    Was this post helpful? thumb_up thumb_down

  • Event id delete user active directory

    jrp78

    Event id delete user active directory

    This person is a verified professional.

    Verify your account to enable IT peers to see that you are a professional.

    ghost chili

    Windows Server Expert

    • check 81 Best Answers
    • thumb_up 259 Helpful Votes

    Yep, I hear ya. Do you have more than one DC? If you so, are you checking events on the DC that holds the PDC Emulator role?

    Was this post helpful? thumb_up thumb_down

  • Do you also have all of the account management auditing enabled? If you create a test account and delete that from AD and then filter your security event logs do you see that deletion in the logs?

    https://www.lepide.com/how-to/audit-user-account-changes-in-active-directory.html Opens a new window

    Was this post helpful? thumb_up thumb_down

  • Was there any account expiry date set? In case you want to restore deleted AD objects in future this article https://www.lepide.com/how-to/restore-deleted-objects-in-active-directory.html Opens a new window could be useful.

    Was this post helpful? thumb_up thumb_down

  • Event id delete user active directory

    I would highly recommend that you follow the instructions at https://system32.eventsentry.com/security/auditing_for_everyone Opens a new window and enable minimum auditing on your network.

    Obviously you should have some sort of monitoring solution in place, but that's secondary. But with auditing enabled (and sufficiently large event logs), you would at least have an audit trail to come back to rather than wondering what happened.

    I'll also say that it's somewhat suspicious that a user account just "disappeared" from your AD. Accounts don't just disappear, so someone or something deleted that account, either by accident or on purpose. Of course I know nothing about your network size, admin team size etc, but starting to pay more attention is probably not a bad idea to prevent something worse from happening.

    Was this post helpful? thumb_up thumb_down

  • if this was mentioned already, my apologies, and I did see you already remade the account so the cats out of the bag so to speak.
    So prepping for next time...
    Another tool in your bag could be using LPD to find Tombstone objects, see this article https://www.windows-active-directory.com/active-directory-tombstones.html Opens a new window
    It won't necessarily tell you any of the why, but if I recall it can tell you when it was Tombstoned / deleted to help in your search. Honestly, I don't recall if it's easier to just make a new one or restore this way as restoring the tombstone much was lost if I recall.

    Powershell

    # from workstation
Get-EventLog -LogName Security -ComputerName <DC name>| Where-Object {$_.EventID -eq 4726} |
Select-Object -Property *

# from DC (I don't recommend)
Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4726} | Select-Object -Property *

    Good luck for next time

    Was this post helpful? thumb_up thumb_down

  • Follow Restoring a User Object using AD Administrative Center Opens a new window Opens a new window manual.

    And yes - you need auditing. Check Audit Policy Best Practices Opens a new window to setup policies.

    As for Netwrix Auditor (Atom60m6, thanks for heads-up!) -  Netwrix Auditor for Active Directory empowers you to quickly recover deleted Active Directory user or computer accounts Opens a new window, groups and organizational units to a previous state

    Was this post helpful? thumb_up thumb_down

  • Event id delete user active directory

    Im sorry for the delayed response.  I think this was figured out.  It turns out that a co-worker had deleted an account from exchange, and apparently that can propagate over and remove an account from AD.  Or at least that's what I was able to piece together after looking the logs that we do have.

    Thanks for the assistance.

    Was this post helpful? thumb_up thumb_down

  • Was this post helpful? thumb_up thumb_down

Read these next...

  • Event id delete user active directory

    Snap! -- Bike Desks, Terahertz Wireless, Holographic Tech, Prehistoric Comet

    Spiceworks Originals

    Your daily dose of tech news, in brief. Welcome to the Snap! Flashback: Back on January 4, 1972: First Handheld Scientific Calculator (Read more HERE.) Bonus Flashback: Back on January 4, 1970: NASA cancels Apollo 20 moon mission (Read mo...

  • Event id delete user active directory

    Need to setup a wireless bridge between 2 buildings using Ubiquiti products

    Networking

    Hi,Ubiquiti are not good at explaining their products so here I am:I need a wireless bridge between 2 buildings. clear line of sight. 800 feet. 400mb+ and low latency because of VOIPThey have a section called ISP OPERATOR with cheap products like UISP ...

  • Event id delete user active directory

    Spark! Pro series - 4th January 2023

    Spiceworks Originals

    Today in History: 1944 Operation Carpetbagger begins (aerial dropping of supplies and weapons to resistance fighters in Europe)The purpose of the operation Carpetbagger project was to fly “Special Operations” to deliver supplies to resistance groups in en...

  • Event id delete user active directory

    With two computers and one set of peripherals, need a switch of sorts?

    Hardware

    So, in essence I've got a user with two different computers for two different organization, and they've got a dual monitor setup and mouse and keyboard all running into a single docking station. They have to unplug one computer and plug in the other anyti...

  • Event id delete user active directory

    HDD data recovery problem (sought professional help)

    Data Storage, Backup & Recovery

    Hello all,I had a 20+ year old seagate HDD that stopped working a while ago. I tried recovery with software first, but no luck. Then I brought it to 2 professional data recovery centers, but they said they couldn't recover any data even though the disk ap...

What is Event ID 4738?

Event 4738 is generated every time a user object is changed. At times, this event may not show any changes—that is, all Changed Attributes appear as “-. “ This usually happens when a change is made to an attribute that is not listed in the event. In this case, there's no way to determine which attribute was changed.

What is event ID 4733?

Event Description: This event generates every time member was removed from security-enabled (security) local group. This event generates on domain controllers, member servers, and workstations. For every removed member you will get separate 4733 event.

What is event ID 5141?

Description. This event documents deletion of AD objects, identifying the object deleted and user who deleted it.

What is Event ID 4732?

Event ID 4732 – A member was added to a security-enabled local group. As described, this Event ID tracks when a member — either a domain user or local user — is added to any security-enabled local group. There are many local groups, but the most commonly monitored local group is the local Administrator group.

Event ID 4726 Event ID 4720 Event ID 4722 Event ID 4724

Bài Viết Liên Quan

Bệnh thiếu máu địa trung hải là gì năm 2024
Bệnh thiếu máu địa trung hải là gì năm 2024

là ai Hỏi Đáp Là gì
Cách phân loại và gọi tên chất hóa học năm 2024
Cách phân loại và gọi tên chất hóa học năm 2024

mẹo hay Mẹo Hay Cách Học Tốt Học
Lô địa chỉ tiếng anh là gì năm 2024
Lô địa chỉ tiếng anh là gì năm 2024

là ai Hỏi Đáp Là gì Học Tốt Tiếng anh
Nguồn nhân lực quan trọng như thế nào năm 2024
Nguồn nhân lực quan trọng như thế nào năm 2024

mẹo hay Hỏi Đáp Thế nào
Chuyển nhượng đất có phải xuất hóa đơn không năm 2024
Chuyển nhượng đất có phải xuất hóa đơn không năm 2024

mẹo hay
Người phụ nữ thành đạt là gì năm 2024
Người phụ nữ thành đạt là gì năm 2024

là ai Hỏi Đáp Là gì Giới Tính Phụ nữ
Kiểm tra 1 tiết toán hình lớp 7 năm 2024
Kiểm tra 1 tiết toán hình lớp 7 năm 2024

mẹo hay
Excel bị lỗi code vba khi đặt pass năm 2024
Excel bị lỗi code vba khi đặt pass năm 2024

mẹo hay
Chu trình làm việc ed cầu trục là gì năm 2024
Chu trình làm việc ed cầu trục là gì năm 2024

là ai Hỏi Đáp Là gì
Bầu uống men tiêu hóa có được ko năm 2024
Bầu uống men tiêu hóa có được ko năm 2024

mẹo hay Hơn
Tuổi mậu thìn nam hợp với tuổi nào năm 2024
Tuổi mậu thìn nam hợp với tuổi nào năm 2024

mẹo hay
Con cánh cam bay vào nhà là điềm gì năm 2024
Con cánh cam bay vào nhà là điềm gì năm 2024

là ai Xây Đựng Nhà
Như thế nào là không hòa hợp trong chuyện ấy năm 2024
Như thế nào là không hòa hợp trong chuyện ấy năm 2024

mẹo hay Hỏi Đáp Thế nào
Các trò chơi trong dạy học toán tiểu học năm 2024
Các trò chơi trong dạy học toán tiểu học năm 2024

mẹo hay Học Tốt Học Game Trò chơi
Hàm nào có thể dùng với 10 câu điều kiện năm 2024
Hàm nào có thể dùng với 10 câu điều kiện năm 2024

mẹo hay Hàm IF AND
Bao tay tập gym tiếng anh là gì năm 2024
Bao tay tập gym tiếng anh là gì năm 2024

là ai Hỏi Đáp Là gì Khỏe Đẹp Gym Học Tốt Tiếng anh
Thành phần kinh tế nào giữ vai trò chủ đạo năm 2024
Thành phần kinh tế nào giữ vai trò chủ đạo năm 2024

mẹo hay
Chữ lessons trong tiếng anh nghĩa là gì năm 2024
Chữ lessons trong tiếng anh nghĩa là gì năm 2024

là ai Hỏi Đáp Là gì Khỏe Đẹp Son Học Tốt Tiếng anh Ngôn ngữ Nghĩa là gì Better Problem Language
Dđi dây cở nào cho máy nướ nóng truucj tiếp năm 2024
Dđi dây cở nào cho máy nướ nóng truucj tiếp năm 2024

mẹo hay Công Nghệ Máy Điện máy Xanh
Lỗi nhập mã xác nhận nhiều lần trên fb năm 2024
Lỗi nhập mã xác nhận nhiều lần trên fb năm 2024

mẹo hay

Quảng Cáo

Có thể bạn quan tâm

Khai macjk apec đà nẵng 2023 diễn ra khi nào năm 2024
3 ngày trước . bởi SpiritedGunman
Nhẫn giả nhưng nhìn như thật gọi là gì năm 2024
3 ngày trước . bởi SmashedBalls
Bài tập lớp 9 chương dung dịch-violet năm 2024
3 ngày trước . bởi FeasibleWidth
Cá nhận ủy quyền quyết toán được trừ 12 tháng năm 2024
3 ngày trước . bởi FanaticalProvocation
Chiều dài của kênh tiếng anh là gì năm 2024
3 ngày trước . bởi MenstrualForefront
Giải sách toán lớp 5 trang 94 luyện tập năm 2024
3 ngày trước . bởi LowlyInvasion
Vp2 là gì trong tiếng anh năm 2024
3 ngày trước . bởi PuritanicalSister
Cách phục hồi ipad bị vô hiệu hóa năm 2024
3 ngày trước . bởi CurtDishonesty
Bài văn tả hình ảnh nhân vật kiều phương năm 2024
3 ngày trước . bởi IrreverentRobber
Lính đỏ và lính xanh là gì năm 2024
3 ngày trước . bởi PreferredIndicator

Toplist được quan tâm

#1
Top 7 tiếng việt lớp 2 trang 35 tập 2 2023
6 tháng trước
#2
Top 6 nêu những hành vi vi phạm trong lĩnh vực kinh doanh mà em biết 2023
6 tháng trước
#3
Top 7 chuyển sinh thành nữ phụ phản diện trong otome game anime 2023
6 tháng trước
#4
Top 7 loại cây nào thường gieo trồng bằng hạt 2023
6 tháng trước
#5
Top 8 quản lý hồ sơ bệnh án của bệnh nhân erd 2023
6 tháng trước
#6
Top 10 bài văn nghị luận về an toàn giao thông lớp 8 2023
6 tháng trước
#7
Top 6 loài tế bào nào dưới đây không phải là tế bào thụ cảm thị giác 2023
6 tháng trước
#8
Top 7 nguyên nhân cơ bản khiến khí hậu châu đại dương ôn hòa 2023
6 tháng trước
#9
Top 3 giáo án tô màu ngôi nhà 3-4 tuổi 2023
6 tháng trước

Quảng cáo

Xem Nhiều

Cho thuê văn phòng cao ốc thái an quận 12 năm 2024
1 tuần trước . bởi AlternativeBureaucracy
Bị đau đầu và buồn nôn là bệnh gì năm 2024
1 tuần trước . bởi FreshwaterCabal
Dùng lượng giác để giải các bài toán đại số năm 2024
4 ngày trước . bởi PrizedInauguration
Dung dịch cần chuẩn độ là gì năm 2024
2 ngày trước . bởi SocialistBreaker
Cách sửa lỗi khi cắm tai nghe vào pc năm 2024
20 giờ trước . bởi FamedDelegation
Khi nào được hưởng trợ cấp thôi việc năm 2024
1 ngày trước . bởi UnregulatedSkate
Giảo đề toán chuyên quang trung bình phước năm 2024
1 tuần trước . bởi SickBrowsing
Top cong ty logistic lon nhat viet nam năm 2024
2 ngày trước . bởi RegularGridlock
Sống là chính mình là gì năm 2024
1 tuần trước . bởi WeakeningCertification
Bài tập định luật cu-lông có bạn năm 2024
5 ngày trước . bởi DeposedSeriousness

Quảng cáo

Chúng tôi

Điều khoản

Trợ giúp

Mạng xã hội

DMCA.com Protection Status
Bản quyền © 2021 toihuongdan Inc.