ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Security analyst monitoring Windows Event Viewer showing account deletion events in a modern SOC environment
Event ID 4726InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4726 – Microsoft-Windows-Security-Auditing : Compte utilisateur supprimé

L'ID d'événement 4726 se déclenche lorsqu'un compte utilisateur est supprimé d'Active Directory ou du système local. Événement de sécurité critique pour suivre le cycle de vie des comptes et les suppressions non autorisées potentielles.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4726Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4726 représente l'un des événements de gestion de compte les plus significatifs dans l'audit de sécurité Windows. Lorsque cet événement se déclenche, il indique qu'un compte utilisateur a été définitivement supprimé de la base de données de sécurité du système, que ce soit le SAM local sur une machine autonome ou Active Directory dans un environnement de domaine.

L'événement contient des détails complets, y compris le sujet qui a effectué la suppression (avec son SID, nom de compte et domaine), le compte cible qui a été supprimé (y compris son SID, nom et domaine), et l'ID de connexion de la session où la suppression a eu lieu. Les informations SID sont particulièrement précieuses car elles identifient de manière unique les comptes même après suppression, permettant une reconstitution judiciaire des événements.

Windows génère cet événement via le service LSASS (Local Security Authority Subsystem Service) lorsque les opérations de suppression de compte sont terminées avec succès. L'événement se déclenche pour tous les types de comptes utilisateur, y compris les utilisateurs réguliers, les comptes de service et les comptes d'ordinateur lorsqu'ils sont supprimés via les interfaces ou API Windows standard. Il ne se déclenche pas pour les comptes qui sont simplement désactivés ou déplacés vers d'autres unités organisationnelles.

Dans les environnements Active Directory, cet événement apparaît sur les contrôleurs de domaine où la suppression a été traitée. Pour les comptes locaux, il apparaît sur la machine spécifique où le compte existait. Le timing de l'événement est synchrone avec l'opération de suppression réelle, le rendant fiable pour les systèmes de surveillance et d'alerte en temps réel.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Administrateur supprimant manuellement des comptes d'utilisateurs via la console Utilisateurs et ordinateurs Active Directory
  • Scripts PowerShell utilisant les cmdlets Remove-ADUser ou Remove-LocalUser pour supprimer des comptes
  • Outils en ligne de commande comme net user /delete ou dsrm.exe supprimant des comptes d'utilisateurs
  • Systèmes de provisionnement automatisés ou solutions de gestion d'identité effectuant le nettoyage des comptes
  • Processus de suppression de comptes pilotés par les stratégies de groupe dans les environnements d'entreprise
  • Outils de gestion d'identité tiers exécutant des opérations de cycle de vie des comptes
  • Opérations de suppression de comptes en masse lors de restructurations organisationnelles ou de migrations de systèmes
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails complets de l'événement pour comprendre le contexte de la suppression :

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4726 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 4726 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur un événement 4726 pour voir des informations détaillées, y compris :
    • Sujet : Qui a supprimé le compte (Nom du compte, Domaine du compte, ID de connexion)
    • Compte cible : Quel compte a été supprimé (Nom du compte, Domaine du compte, ID de sécurité)
    • Informations supplémentaires : Privilèges utilisés pour l'opération
  6. Notez l'horodatage et corrélez-le avec tout processus de gestion des changements ou activités administratives
Astuce pro : L'ID de sécurité (SID) dans la section Compte cible identifie de manière unique le compte supprimé et peut être utilisé pour retracer son historique à travers plusieurs événements.
02

Interroger les événements avec PowerShell pour l'analyse

Utilisez PowerShell pour extraire et analyser les événements de suppression de compte de manière programmatique :

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements récents de suppression de compte :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4726} -MaxEvents 50 | Select-Object TimeCreated, Id, @{Name='DeletedAccount';Expression={($_.Message -split '\n' | Where-Object {$_ -match 'Account Name:'} | Select-Object -First 1) -replace '.*Account Name:\s*', ''}}, @{Name='DeletedBy';Expression={($_.Message -split '\n' | Where-Object {$_ -match 'Subject:' -A 3} | Where-Object {$_ -match 'Account Name:'} | Select-Object -First 1) -replace '.*Account Name:\s*', ''}}
  3. Exportez les événements vers un fichier CSV pour une analyse plus approfondie :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4726} | Select-Object TimeCreated, LevelDisplayName, @{Name='Message';Expression={$_.Message}} | Export-Csv -Path "C:\Temp\AccountDeletions.csv" -NoTypeInformation
  4. Filtrez les événements par plage de temps spécifique :
    $StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4726; StartTime=$StartTime; EndTime=$EndTime}
  5. Recherchez les suppressions par un administrateur spécifique :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4726} | Where-Object {$_.Message -match 'DOMAIN\\AdminUsername'}
Avertissement : Les journaux de sécurité volumineux peuvent affecter les performances. Utilisez le paramètre -MaxEvents pour limiter les résultats et envisagez de filtrer par plages de temps pour de meilleures performances.
03

Corréler avec les modifications d'Active Directory

Dans les environnements de domaine, corrélez l'ID d'événement 4726 avec d'autres événements Active Directory pour un contexte complet :

  1. Vérifiez les événements liés sur les contrôleurs de domaine :
    Get-WinEvent -ComputerName DC01 -FilterHashtable @{LogName='Security'; Id=4726,4728,4729,4732,4733} -MaxEvents 100 | Sort-Object TimeCreated
  2. Interrogez le journal du service d'annuaire pour un contexte supplémentaire :
    Get-WinEvent -FilterHashtable @{LogName='Directory Service'} | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-1) -and $_.Message -match 'delete'}
  3. Utilisez le module PowerShell Active Directory pour vérifier les objets récemment supprimés :
    Import-Module ActiveDirectory
Get-ADObject -Filter {Deleted -eq $true} -IncludeDeletedObjects -Properties whenChanged,whenCreated,DisplayName | Where-Object {$_.whenChanged -gt (Get-Date).AddDays(-1)}
  4. Vérifiez la Corbeille Active Directory si elle est activée :
    Get-ADObject -Filter {Deleted -eq $true -and ObjectClass -eq 'user'} -IncludeDeletedObjects -Properties DisplayName,whenChanged,LastKnownParent
  5. Examinez les modifications de la stratégie de groupe qui pourraient déclencher des suppressions automatiques :
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=1502,1503} | Where-Object {$_.TimeCreated -gt (Get-Date).AddDays(-1)}
Astuce pro : Activez la Corbeille Active Directory pour récupérer les comptes supprimés accidentellement. Utilisez la cmdlet Enable-ADOptionalFeature avec la fonctionnalité de Corbeille.
04

Mettre en œuvre la surveillance et l'alerte

Configurez une surveillance proactive pour détecter les suppressions de comptes non autorisées :

  1. Créez une vue personnalisée dans l'Observateur d'événements pour les suppressions de comptes :
    • Dans l'Observateur d'événements, cliquez avec le bouton droit sur Vues personnalisées et sélectionnez Créer une vue personnalisée
    • Définissez le Niveau d'événement sur Information
    • Entrez 4726 dans ID d'événements
    • Sélectionnez Sécurité dans les journaux d'événements
    • Nommer la vue "Suppressions de comptes" et enregistrez
  2. Configurez le transfert d'événements Windows (WEF) pour centraliser les événements :
    # Sur le serveur collecteur
wecutil qc /q
# Créer une souscription
wecutil cs subscription.xml
  3. Configurez un script de surveillance basé sur PowerShell :
    Register-WmiEvent -Query "SELECT * FROM __InstanceCreationEvent WITHIN 10 WHERE TargetInstance ISA 'Win32_NTLogEvent' AND TargetInstance.LogFile = 'Security' AND TargetInstance.EventCode = 4726" -Action {
    $Event = $Event.SourceEventArgs.NewEvent.TargetInstance
    Send-MailMessage -To "admin@company.com" -From "monitoring@company.com" -Subject "Account Deleted" -Body "Account deletion detected: $($Event.Message)" -SmtpServer "mail.company.com"
}
  4. Configurez le Planificateur de tâches pour exécuter les scripts de surveillance :
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\MonitorAccountDeletions.ps1"
$Trigger = New-ScheduledTaskTrigger -AtStartup
Register-ScheduledTask -TaskName "MonitorAccountDeletions" -Action $Action -Trigger $Trigger -RunLevel Highest
Avertissement : Une surveillance excessive peut générer une fatigue d'alerte. Configurez des filtres et des seuils appropriés en fonction des habitudes normales de gestion des comptes de votre organisation.
05

Enquête médico-légale et récupération

Effectuer une analyse médico-légale détaillée lorsque des suppressions non autorisées sont suspectées :

  1. Préserver les preuves en exportant les événements pertinents :
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4726; StartTime=(Get-Date).AddDays(-30)}
$Events | Export-Csv -Path "C:\Forensics\AccountDeletions_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation
  2. Analyser les sessions de connexion associées aux suppressions :
    # Obtenir les événements de connexion pour la même session
$LogonId = "0x3e7"  # Extraire de l'événement 4726
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4634} | Where-Object {$_.Message -match $LogonId}
  3. Vérifier les événements d'escalade de privilèges :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672,4673,4674} | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-2) -and $_.TimeCreated -lt (Get-Date).AddMinutes(-5)}
  4. Tenter de récupérer le compte depuis la corbeille Active Directory :
    # Trouver l'utilisateur supprimé par SID ou nom
$DeletedUser = Get-ADObject -Filter {Deleted -eq $true -and SamAccountName -eq 'username'} -IncludeDeletedObjects
# Restaurer le compte
Restore-ADObject -Identity $DeletedUser
  5. Générer un rapport médico-légal complet :
    $Report = @{
    DeletionEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4726; StartTime=(Get-Date).AddDays(-7)}
    RelatedLogons = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4634; StartTime=(Get-Date).AddDays(-7)}
    PrivilegeUse = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672; StartTime=(Get-Date).AddDays(-7)}
}
$Report | ConvertTo-Json -Depth 3 | Out-File "C:\Forensics\DeletionInvestigation.json"
Conseil pro : Documenter la chaîne de possession des preuves médico-légales et maintenir des journaux détaillés de toutes les activités d'enquête pour d'éventuelles procédures judiciaires.

Aperçu

L'ID d'événement 4726 est un événement d'audit de sécurité critique qui se déclenche chaque fois qu'un compte utilisateur est supprimé soit de l'Active Directory, soit de la base de données locale du Security Accounts Manager (SAM). Cet événement apparaît dans le journal de sécurité et fournit des informations détaillées sur qui a supprimé le compte, quand cela s'est produit, et quel compte a été supprimé.

L'événement se déclenche immédiatement lorsqu'un administrateur utilise des outils comme Utilisateurs et ordinateurs Active Directory, des cmdlets PowerShell ou des utilitaires en ligne de commande pour supprimer des comptes utilisateurs. Il capture à la fois les suppressions réussies et fournit des preuves médico-légales pour les enquêtes de sécurité. L'événement inclut l'identifiant de sécurité (SID) du compte supprimé, qui reste constant même si les noms de compte changent, ce qui le rend inestimable pour suivre les événements du cycle de vie des comptes.

Cet événement est particulièrement important dans les environnements d'entreprise où la gestion des comptes utilisateurs doit être soigneusement surveillée à des fins de conformité et de sécurité. Il aide les administrateurs à suivre les suppressions de comptes non autorisées, à maintenir des pistes d'audit pour les exigences réglementaires et à enquêter sur les menaces internes potentielles ou les comptes administratifs compromis.

Questions Fréquentes

Que signifie l'ID d'événement 4726 et quand se produit-il ?+
L'ID d'événement 4726 indique qu'un compte utilisateur a été supprimé avec succès soit d'Active Directory, soit de la base de données locale du Gestionnaire de Comptes de Sécurité (SAM). Il se déclenche immédiatement lorsqu'un administrateur utilise n'importe quelle méthode pour supprimer un compte utilisateur, y compris Utilisateurs et ordinateurs Active Directory, des cmdlets PowerShell comme Remove-ADUser, ou des outils en ligne de commande. L'événement fournit des informations détaillées sur qui a effectué la suppression, quel compte a été supprimé, et quand l'opération a eu lieu. C'est un événement de sécurité critique pour suivre la gestion du cycle de vie des comptes et détecter les suppressions de comptes non autorisées.
Comment puis-je identifier qui a supprimé un compte utilisateur spécifique ?+
L'ID d'événement 4726 contient des informations détaillées sur l'opération de suppression dans la section 'Sujet'. Cela inclut le nom du compte, le domaine du compte et l'ID de connexion de la personne qui a effectué la suppression. Vous pouvez utiliser PowerShell pour extraire ces informations : Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4726} | Where-Object {$_.Message -match 'DeletedAccountName'} | Select-Object TimeCreated, Message. L'événement inclut également l'ID de sécurité (SID) à la fois du sujet qui a effectué la suppression et du compte cible qui a été supprimé, fournissant une identification définitive même si les noms de compte ont changé.
Puis-je récupérer un compte utilisateur après avoir vu l'ID d'événement 4726 ?+
La récupération dépend de la configuration de votre environnement. Dans les environnements Active Directory avec la fonctionnalité Corbeille activée (Windows Server 2008 R2 et versions ultérieures), vous pouvez récupérer des comptes supprimés en utilisant la cmdlet Restore-ADObject. Tout d'abord, trouvez l'objet supprimé avec Get-ADObject -Filter {Deleted -eq $true} -IncludeDeletedObjects, puis restaurez-le en utilisant Restore-ADObject -Identity. Pour les comptes locaux ou les environnements AD sans Corbeille, la récupération n'est pas possible par des moyens standard. Vous devrez recréer le compte, mais il aura un SID différent et perdra toutes les permissions et appartenances à des groupes précédentes. C'est pourquoi la mise en œuvre de procédures de sauvegarde et de gestion des changements appropriées est cruciale.
Pourquoi vois-je plusieurs entrées d'ID d'événement 4726 pour les systèmes automatisés ?+
Plusieurs événements 4726 provenant de systèmes automatisés indiquent généralement des opérations en masse légitimes telles que des processus de départ d'employés, le nettoyage de systèmes de provisionnement automatisés ou des tâches de maintenance planifiées. Ces événements proviennent souvent de comptes de service utilisés par des systèmes de gestion d'identité, des outils d'intégration RH ou des scripts PowerShell exécutés sous des tâches planifiées. Pour distinguer entre activité légitime et suspecte, examinez les schémas de timing (les opérations en masse se produisent souvent pendant les fenêtres de maintenance), les comptes sources (comptes de service vs comptes d'admin individuels), et corrélez avec les enregistrements de gestion des changements. Vous pouvez filtrer les événements par comptes de service spécifiques en utilisant PowerShell pour séparer les opérations automatisées des actions administratives manuelles.
Comment dois-je configurer la surveillance et les alertes pour l'ID d'événement 4726 ?+
Mettre en œuvre une approche de surveillance en couches pour l'ID d'événement 4726. Tout d'abord, créez des vues personnalisées dans l'Observateur d'événements pour examiner facilement les événements de suppression. Configurez le transfert d'événements Windows (WEF) pour centraliser les événements de plusieurs systèmes vers un serveur collecteur. Configurez des alertes en temps réel à l'aide de scripts PowerShell avec Register-WmiEvent ou de solutions SIEM tierces pour détecter les suppressions en dehors des heures de bureau ou par des comptes non autorisés. Établissez des modèles de référence pour l'activité normale de suppression de comptes et alertez sur les écarts. Envisagez de mettre en œuvre des flux de travail d'approbation où les suppressions de comptes à privilèges élevés nécessitent plusieurs approbations. Pour les environnements de conformité, assurez-vous que les événements sont transférés vers des systèmes de stockage à long terme et configurez des rapports automatisés à des fins d'audit. Équilibrez la sensibilité pour éviter la fatigue des alertes tout en garantissant que les suppressions non autorisées critiques sont détectées rapidement.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4726 and related account management events.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Active Directory Recycle Bin OverviewOfficial documentation on enabling and using Active Directory Recycle Bin for account recovery scenarios.https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#account-management#event-id-4726

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...