- El ID de evento 4726 indica que se eliminó una cuenta de usuario de la computadora.
- No debe alarmarse si aparece este ID de evento, a menos que los cambios los haya realizado un tercero.
Algunos de nuestros lectores se quejan de ver el evento de seguridad de Windows 4726 en el controlador de dominio. El registro de eventos indica que se eliminó una cuenta de usuario y otros detalles sobre el evento registrado. Sin embargo, esta guía lo guiará a través de cómo corregir la ID del evento.
Además, puede leer sobre el error de evento ID 7023 y algunas correcciones para resolverlo en Windows 11.
¿Qué es el evento 4726?
El ID de evento 4726 es un evento de seguridad de Windows que indica la eliminación de una cuenta de usuario. Cuando se registra este evento, se eliminó o eliminó una cuenta de usuario de Windows Active Directory.
Este evento generalmente se registra en el registro de eventos de seguridad en un controlador de dominio de Windows.
Al monitorear el ID de evento 4726, los administradores del sistema pueden realizar un seguimiento de las eliminaciones de cuentas de usuario en su entorno de dominio de Windows e identificar cualquier actividad no autorizada o sospechosa relacionada con las cuentas de usuario.
¿Qué causa el evento ID 4726?
Varios factores pueden causar el evento ID 4726. Aquí hay algunos escenarios comunes que pueden desencadenar este evento:
- Acción administrativa – Un administrador o usuario con suficientes privilegios eliminó deliberadamente la cuenta de usuario mediante las herramientas de Active Directory o los comandos de PowerShell.
- Caducidad de la cuenta – Si una cuenta de usuario va a caducar en una fecha específica o después de un período determinado, el sistema puede eliminarla automáticamente cuando exista la condición de caducidad.
- limpieza de cuenta – Las cuentas de usuario a veces se pueden eliminar como parte de los procesos de limpieza o mantenimiento de rutina. Puede ser para eliminar cuentas inactivas o no utilizadas del entorno de Active Directory.
- Terminación o salida – Cuando un empleado deja una organización, su cuenta de usuario puede eliminarse para revocar el acceso a los recursos de la red y mantener la seguridad.
- Actividad maliciosa – En casos desafortunados de acceso no autorizado o intentos de piratería, un atacante con privilegios suficientes puede eliminar cuentas de usuario para interrumpir las operaciones, cubrir sus huellas o causar daños a la organización.
Estos factores pueden variar en diferentes equipos. De todos modos, discutiremos algunas soluciones básicas para resolver el problema.
¿Qué puedo hacer si veo el ID de evento 4726?
1. Habilite la auditoría usando ADSI Edit
- Presiona las teclas Windows + R para abrir el Correr cuadro de diálogo, escriba ADSIEdit.msc, y presione Entrar para abrir la consola de la interfaz de servicio de Active Directory (ADSI).
- Haga clic derecho en el Edición ADSI opción en el lado superior izquierdo, luego seleccione Conectar a del menú desplegable.
- En la ventana Configuración de conexión, haga clic en el Seleccione un contexto de nomenclatura conocido opción y seleccione Contexto de nomenclatura predeterminado en el menú desplegable, luego haga clic en DE ACUERDO.
- Ampliar la Contexto de nomenclatura predeterminado opción, haga clic derecho en DC=www,DC=dominio,DC=comy seleccione Propiedades del menú contextual.
- Ve a la Seguridad pestaña y haga clic Avanzado para abrir el Configuración de seguridad avanzada.
- Selecciona el Revisión de cuentas pestaña y haga clic Agregar para agregar la entrada de auditoría para los usuarios cuyas acciones desea monitorear.
- Luego, haga clic en el Seleccione un director opción.
- Ve a la Introduzca el nombre del objeto entrada y tipo Todoshaga clic en el Comprobar nombres para verificar el nombre, luego haga clic en DE ACUERDO.
- Sobre el Entrada de auditoría ventana, haga clic en el Tipo opción y seleccione Todo del menú desplegable.
- Hacer clic Aplica a y seleccione Este objeto y todos los objetos descendientes del menú desplegable.
- Marque las casillas de los siguientes elementos: Control total, Contenido de la lista, Leer todas las propiedadesy Permisos de lecturaluego haga clic en el DE ACUERDO botón.
- Sobre el Configuración de seguridad avanzada, haga clic en el Aplicar y DE ACUERDO botones.
- Cierre la ventana de edición de ADSI.
Cuando obtenga el ID de evento 4726, debe realizar un seguimiento de las cuentas de usuario y de equipo eliminadas. Tiene que hacerse habilitando la auditoría en la interfaz de servicio de Active Directory (ADSI).
2. Use el Visor de eventos para verificar las cuentas de usuario y las computadoras eliminadas en AD
- Click izquierdo Comenzar en el menú de Windows, escriba Visor de eventosy presione Entrar.
- Ahora, ve a Registros de Windows y seleccione Seguridad.
- Busca el identificador de evento 4726 (ID de evento de cuenta/usuario de AD eliminado) y identificador de evento 4743 (Identificador de evento eliminado de la cuenta de la computadora) para identificar las eliminaciones de la cuenta del usuario y de la computadora.
- Luego, desplácese hacia abajo para ubicar el cuentas, objetos de computadora y cuentas de computadora eliminado
Una vez que haya habilitado la auditoría, el Visor de eventos registrará la computadora y los objetos de usuario eliminados.
3. Usa PowerShell para detectar quién eliminó la cuenta
- Haga clic con el botón izquierdo en el ventanas icono, tipo Potencia Shelly haga clic en Ejecutar como administrador.
- Luego, ingresa lo siguiente y presiona Enter: Get-EventLog -LogName Seguridad | Donde-Objeto {$_.EventID -eq 4726} | Seleccionar-Objeto-Propiedad *
- Localice la cuenta de usuario eliminada en Mensaje > Asunto. Se pueden ver el nombre de la cuenta y el ID de seguridad del usuario que realizó la eliminación en el usuario de destino.
En conclusión, tenemos una guía completa sobre cómo borrar el registro de eventos en las computadoras con Windows. Además, lea sobre qué es el ID de evento 4769 y cómo solucionarlo.
Si tiene más preguntas o sugerencias, por favor déjelas en la sección de comentarios.
