Vill du lära dig hur du filtrerar Windows-händelseloggar med Powershell för att hitta vem som har tagit bort ett användarkonto på domänen? I den här handledningen kommer vi att visa dig hur du hittar vem som raderade ett konto i Active Directory.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Utrustning lista

Här kan du hitta listan över utrustning som används för att skapa denna tutorial.

Denna länk kommer också att visa programvaran lista som används för att skapa denna tutorial.

Relaterad självstudie – PowerShell

På den här sidan erbjuder vi snabb tillgång till en lista med självstudiekurser relaterade till PowerShell.

Självstudie Powershell – Vem som har tagit bort en användare på domänen

Starta en upphöjd Powershell-kommandorad på domänkontrollanten.

Windows 10 - powershell elevated

Lista händelser relaterade till uteslutning av ett användarkonto.

Copy to Clipboard

Här är kommandot utgång.

Copy to Clipboard

Visa innehållet i händelser relaterade till uteslutning av ett användarkonto.

Copy to Clipboard

Här är kommandot utgång.

Copy to Clipboard

Visa endast innehållet i händelsemeddelandet.

Copy to Clipboard

Här är kommandot utgång.

Copy to Clipboard

Hitta vem som har tagit bort användarkonton under de senaste 30 dagarna.

Copy to Clipboard

Hitta vem som har tagit bort användarkonton inom ett visst tidsintervall.

Copy to Clipboard

Lista händelser relaterade till uteslutning av ett specifikt användarkonto.

Copy to Clipboard

I vårt exempel filtrerade vi baserat på händelsemeddelandeinnehållet.

Grattis! Du kan hitta vem som har tagit bort ett användarkonto i Active Directory med hjälp av Powershell.