Apoyo
 
Nosotros: + 1888 720 9500
Estados Unidos: +1888791 1189
Internacional: +1925924 9500
Aus: +1800 631268
Reino Unido: 0800 028 6590
CN: +86400660 8680

Marcación interna directa: +1 408 916 9892

 

Cómo encontrar quién eliminó una cuenta de computadora en Active Directory

Comienza tu prueba gratuita

Cuando se trata de la actividad de inicio de sesión del dispositivo, una cuenta de computadora es tan importante como una cuenta de usuario. Si se elimina la cuenta de computadora de Active Directory (AD) de un usuario, no podrá iniciar sesión en su dispositivo para continuar con su trabajo. Esto puede costarle mucho a las organizaciones en términos de tiempo dedicado a recuperar la cuenta de la computadora y pérdida de productividad del empleado que no puede iniciar sesión. Descubrir quién eliminó la cuenta de la computadora puede ayudar a los administradores a comprender por qué ocurrió la eliminación y cómo evitar sucesos futuros. Siga leyendo para descubrir cómo.

Pasos para encontrar quién eliminó las cuentas de computadora con PowerShell:

Realice las siguientes acciones en el controlador de dominio (DC):

  1. Haga clic en Inicio , busque Windows PowerShell , haga clic con el botón derecho y seleccione Ejecutar como administrador .
  2. Escriba el siguiente script en la consola:

    Get-EventLog -LogName Security | Where-Object {$ _. EventID -eq 4743} | Seleccionar-Objeto-Propiedad *

buscar-quién-eliminó-la-cuenta-de-computadora-1
  1. Presione Entrar .
  2. Este script mostrará las cuentas de usuario eliminadas. En el resultado, en Mensaje> Asunto> Nombre de cuenta , se puede encontrar el nombre y la identificación de seguridad del usuario que realizó la eliminación en la cuenta de la computadora de destino.

Nota : Si está utilizando una estación de trabajo, la siguiente secuencia de comandos debe ejecutarse en PowerShell:

Get-EventLog -LogName Security -ComputerName <nombre de DC> | Where-Object {$ _. EventID -eq 4743} | Seleccionar-Objeto-Propiedad *

donde <nombre de DC> es el nombre del controlador de dominio donde desea verificar los detalles de la eliminación que tuvo lugar.

buscar-quién-eliminó-la-cuenta-de-computadora-2

A través de la auditoría nativa, puede buscar eventos para vigilar las eliminaciones de objetos. Sin embargo, esto se vuelve poco práctico cuando tiene que lidiar con miles de cuentas de computadora y necesita realizar un seguimiento de cada evento a medida que ocurre.

El proceso anterior se puede simplificar utilizando ADAudit Plus, software de auditoría de Active Directory en tiempo real. ADAudit Plus proporciona información detallada sobre quién eliminó qué, cuándo y desde dónde para cada evento de cambio de AD que ocurre en su organización, incluida la administración de computadoras.

Pasos para encontrar quién eliminó las cuentas de computadora usando
ManageEngine ADAudit Plus

  1. Abra la consola ADAudit Plus e inicie sesión como administrador.
  2. Vaya a Informes> Active Directory> Administración de equipos> Equipos eliminados recientemente .
1
 

Supervise de forma selectiva las cuentas informáticas críticas clasificando estos informes según criterios como el nombre de la computadora, el nombre de usuario de la persona que llama, el nombre de la computadora, la hora de creación / eliminación / modificación, etc.

2
 

Obtenga información valiosa adicional con la ayuda de informes seleccionados, como los usuarios que iniciaron sesión en varias computadoras.

buscar-quién-eliminó-la-cuenta-de-computadora-3

Selectivamente supervisar las cuentas de equipo críticos clasificando estos informes basados en criterios tales como nombre del equipo, nombre del usuario que llama, nombre del equipo, el tiempo de la creación / eliminación / modificación, etc.
adquirir una valiosa información adicional a la ayuda de los informes curadas tales como los usuarios conectados en varias computadoras.

Ventajas de usar ADAudit Plus sobre la auditoría nativa:

  • ADAudit Plus audita e informa sobre todos los cambios de Active Directory de manera consistente, lo que garantiza una pista de auditoría infalible. No es necesario recordar el ID de evento de cada actividad y buscarlo, como es el caso de la auditoría nativa.
  • Establezca alertas para actividades inusuales mediante el aprendizaje automático y automatice las respuestas a estas alertas para detectar y responder a las amenazas internas.
  • Los informes de cumplimiento listos para usar de ADAudit Plus lo ayudan a cumplir con las regulaciones que incluyen SOX, HIPAA, GLBA, PCI-DSS, FISMA y GDPR.

ADAudit Plus cuenta con la confianza de

//