Хотите узнать, как фильтровать журналы событий Windows с помощью Powershell, чтобы найти, кто удалил учетную запись пользователя в домене? В этом уроке мы покажем вам, как найти, кто удалил учетную запись в Active Directory.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Список оборудования

Здесь вы можете найти список оборудования, используемого для создания этого учебника.

Эта ссылка будет также показать список программного обеспечения, используемого для создания этого учебника.

Похожий учебник — PowerShell

На этой странице мы предлагаем быстрый доступ к списку учебников, связанных с PowerShell.

Учебник Powershell — Кто удалил пользователя в домене

На контроллере домена запустите командную строку Powershell с повышенными привилегиями.

Windows 10 - powershell elevated

Перечислите события, связанные с исключением учетной записи пользователя.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

Отображение содержимого событий, связанных с исключением учетной записи пользователя.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

Отображение только содержимого сообщения о событии.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

Узнайте, кто удалил учетные записи пользователей за последние 30 дней.

Copy to Clipboard

Узнайте, кто удалил учетные записи пользователей за определенный промежуток времени.

Copy to Clipboard

Перечислите события, связанные с исключением определенной учетной записи пользователя.

Copy to Clipboard

В нашем примере мы фильтровали на основе содержимого сообщения о событии.

Поздравляю! Вы можете узнать, кто удалил учетную запись пользователя в Active Directory, с помощью Powershell.