Opplæring Powershell - Hvem slettet en bruker på domenet

Vil du lære hvordan du filtrerer Windows-hendelseslogger ved hjelp av Powershell for å finne hvem som har slettet en brukerkonto på domenet? I denne opplæringen skal vi vise deg hvordan du finner hvem som har slettet en konto på Active Directory.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 2022
• Windows 10
• Windows 11

Liste over utstyr

Her finner du listen over utstyr som brukes til å lage denne opplæringen.

Liste over utstyr

Denne koblingen vil også vise programvarelisten som brukes til å lage denne opplæringen.

Relatert opplæring - PowerShell

På denne siden tilbyr vi rask tilgang til en liste over tutorials knyttet til PowerShell.

Opplæring Powershell - Hvem slettet en bruker på domenet

Start en forhøyet Powershell-kommandolinje på domenekontrolleren.

List opp hendelser relatert til ekskludering av en brukerkonto.

Copy to Clipboard

Her er kommandoutdataene.

Copy to Clipboard

Vis innholdet i hendelser knyttet til ekskludering av en brukerkonto.

Copy to Clipboard

Her er kommandoutdataene.

Copy to Clipboard

Message              : A user account was deleted.

Subject:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-500
                        Account Name:           Administrator
                        Account Domain:         TECH
                        Logon ID:               0x60ADD

Target Account:
                        Security ID:            S-1-5-21-4215187987-3124207031-433979976-1107
                        Account Name:           yamcha
                        Account Domain:         TECH

Additional Information:
                        Privileges      -
Id                   : 4726
Version              : 0
Qualifiers           :
Level                : 0
Task                 : 13824
Opcode               : 0
Keywords             : -9214364837600034816
RecordId             : 194076
ProviderName         : Microsoft-Windows-Security-Auditing
ProviderId           : 54849625-5478-4994-a5ba-3e3b0328c30d
LogName              : Security
ProcessId            : 832
ThreadId             : 3360
MachineName          : TECH-DC01.TECH.LOCAL
UserId               :
TimeCreated          : 8/11/2022 2:09:50 AM
ActivityId           :
RelatedActivityId    :
ContainerLog         : Security
MatchedQueryIds      : {}
Bookmark             : System.Diagnostics.Eventing.Reader.EventBookmark
LevelDisplayName     : Information
OpcodeDisplayName    : Info
TaskDisplayName      : User Account Management
KeywordsDisplayNames : {Audit Success}
Properties           : {System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty...}

Vis bare innholdet i hendelsesmeldingen.

Copy to Clipboard

Her er kommandoutdataene.

Copy to Clipboard

Finn hvem som har slettet brukerkontoer i løpet av de siste 30 dagene.

Copy to Clipboard

Finn hvem som har slettet brukerkontoer i et bestemt tidsintervall.

Copy to Clipboard

List opp hendelser relatert til ekskludering av en spesifikk brukerkonto.

Copy to Clipboard

I vårt eksempel filtrerte vi basert på innholdet i hendelsesmeldingen.

Gratulerer! Du kan finne hvem som har slettet en brukerkonto i Active Directory ved hjelp av Powershell.

Powershell - Hvem slettet en bruker på domenet

Powershell - Hvem slettet en bruker på domenet

Liste over utstyr

Relatert opplæring - PowerShell

Opplæring Powershell - Hvem slettet en bruker på domenet

Related Posts