Comment détecter qui a supprimé un compte d'ordinateur dans Active Directory
Audit natif vs. Netwrix Auditor for Active Directory
Netwrix Auditor for Active Directory
- Exécutez Netwrix Auditor → Allez dans "Recherche" → Cliquez sur "Mode avancé" si ce n'est pas sélectionné → Configurez les filtres suivants :
- Filtre = "Source de données"
Opérateur = "Équivaut à"
Valeur = "Active Directory" - Filtre = "Type d'objet"
Opérateur = "Égal à"
Valeur = "Ordinateur" - Filter = "Action"
Operator = "Equals"
Value = "Removed"
- Filtre = "Source de données"
- Cliquez sur le bouton « Rechercher » et examinez qui a supprimé des comptes d'ordinateurs.
Audit Natif
- Exécutez gpmc.msc → modifiez la "Politique de domaine par défaut" → Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité :
- Stratégies locales → Stratégie d'audit → Audit de la gestion des comptes → Définir → Réussite
- Journal des événements → Définir → Taille maximale du journal de sécurité à 1 Go et Méthode de conservation du journal de sécurité sur Écraser les événements selon les besoins.
- Ouvrez ADSI Edit → Connectez-vous au contexte de nommage par défaut → cliquez droit sur "DC=nom de domaine" → Propriétés → Sécurité (Onglet) → Avancé → Audit (Onglet) → Cliquez sur "Ajouter" → Choisissez les paramètres suivants :
- Principal : Tout le monde ; Type : Succès ; S'applique à : Cet objet et tous les objets descendants ; Permissions : Supprimer, Supprimer la sous-arborescence, Écrire toutes les propriétés → Cliquez sur "OK".
- Pour définir quel compte d'ordinateur a été supprimé, filtrez le journal des événements de sécurité pour l'ID d'événement 4743.
En savoir plus sur Netwrix Auditor for Active Directory
Identifiez qui a supprimé des comptes d'ordinateurs pour éviter les erreurs d'authentification
La suppression inappropriée d'un compte utilisateur peut causer de sérieux problèmes pour une organisation. Les utilisateurs dont les comptes informatiques ont été supprimés ne pourront pas se connecter aux systèmes informatiques en utilisant leur authentification de domaine. S'ils sont déjà connectés, ils auront des difficultés à accéder à leur courrier électronique, aux dossiers partagés, à SharePoint et à d'autres ressources. En plus de cette perte de productivité, le personnel informatique doit passer du temps à enquêter sur la raison d'une erreur d'authentification. Pour éviter ces problèmes, il est essentiel de détecter la suppression des comptes informatiques en temps opportun.
Netwrix Auditor for Active Directory permet une visibilité complète sur l'activité dans Active Directory et la stratégie de groupe en fournissant des données d'audit exploitables sur les événements d'accès et les modifications. Des alertes par courriel personnalisables informent les administrateurs informatiques lorsqu'un compte d'ordinateur est supprimé, leur permettant de réagir rapidement aux suppressions non désirées et d'éviter les problèmes qui surviennent lorsque le système ne peut pas authentifier un utilisateur. Les rapports d'audit contiennent des détails exploitables, tels que qui a supprimé quel compte d'ordinateur et quand et où la modification a eu lieu, afin que les administrateurs puissent enquêter et prévenir des problèmes similaires à l'avenir.
Partager sur