ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying Active Directory security audit logs on a professional monitoring setup
Event ID 4729InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4729 – Microsoft-Windows-Security-Auditing : Un membre a été retiré d'un groupe global activé pour la sécurité

L'ID d'événement 4729 enregistre lorsqu'un compte utilisateur ou ordinateur est supprimé d'un groupe global activé pour la sécurité dans Active Directory. Cet événement d'audit suit les changements d'appartenance aux groupes pour la surveillance de la sécurité et la conformité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4729Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4729 est généré par le fournisseur Microsoft-Windows-Security-Auditing lorsque Active Directory traite une demande de suppression d'un membre d'un groupe global activé pour la sécurité. Cet événement se produit sur les contrôleurs de domaine et fait partie de la stratégie d'audit avancée pour la gestion des comptes.

L'événement contient des informations complètes sur le changement d'appartenance au groupe, y compris l'identifiant de sécurité (SID) du membre supprimé, le nom et le domaine du groupe cible, ainsi que le compte qui a initié le changement. Ce niveau de détail le rend inestimable pour les enquêtes de sécurité et les rapports de conformité.

Les groupes globaux dans Active Directory peuvent contenir des utilisateurs, des ordinateurs et d'autres groupes globaux du même domaine. Lorsque l'un de ces objets est supprimé d'un groupe global, l'ID d'événement 4729 est enregistré. L'événement aide les administrateurs à maintenir la visibilité sur les changements d'appartenance au groupe qui pourraient affecter les frontières de sécurité et les décisions de contrôle d'accès.

Cet événement est particulièrement critique dans les environnements avec des exigences de conformité strictes, car il fournit une piste d'audit pour les changements d'appartenance au groupe. Les équipes de sécurité comptent sur cet événement pour détecter les modifications non autorisées aux groupes privilégiés et pour s'assurer que les suppressions d'accès sont correctement documentées et autorisées.

S'applique à

Windows Server 2019Windows Server 2022Windows Server 2025Active Directory Domain Controllers
Analyse

Causes possibles

  • Administrateur supprimant manuellement un utilisateur d'un groupe global à l'aide de Active Directory Users and Computers
  • Scripts automatisés ou commandes PowerShell supprimant des membres de groupes
  • Systèmes de gestion d'identité tiers modifiant les adhésions aux groupes
  • Traitement de la stratégie de groupe affectant les adhésions aux groupes
  • Traitement de la réplication Active Directory modifiant les adhésions depuis d'autres contrôleurs de domaine
  • Exchange Server ou d'autres applications supprimant des comptes de service des groupes
  • Suppression de compte utilisateur déclenchant la suppression automatique de tous les groupes
  • Opérations de gestion d'utilisateurs en masse effectuées via ADSI ou LDAP
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails de l'événement pour comprendre ce qui s'est passé et qui a initié le changement.

  1. Ouvrez Observateur d'événements sur le contrôleur de domaine
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4729 en utilisant l'option de filtre
  4. Double-cliquez sur l'événement pour voir les informations détaillées
  5. Examinez les champs clés suivants :
    • Sujet : Compte qui a effectué la suppression
    • Membre : Compte qui a été retiré du groupe
    • Groupe : Nom du groupe cible et domaine
    • Informations supplémentaires : Privilèges utilisés pour l'opération

Utilisez cette commande PowerShell pour récupérer rapidement les événements récents 4729 :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4729} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
02

Interroger les événements avec PowerShell pour une analyse détaillée

Utilisez PowerShell pour effectuer un filtrage avancé et une analyse des événements de suppression d'appartenance à un groupe.

  1. Interroger les événements pour un groupe spécifique :
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4729} -MaxEvents 100
$Events | Where-Object {$_.Message -like '*GroupName*'} | Select-Object TimeCreated, @{Name='User';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Account Name:*'})[0] -replace '.*Account Name:\s*'}}, @{Name='Group';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Group Name:*'})[0] -replace '.*Group Name:\s*'}}
  1. Rechercher des événements dans une plage de temps spécifique :
$StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4729; StartTime=$StartTime; EndTime=$EndTime} | Format-Table TimeCreated, Message -Wrap
  1. Exporter les événements vers un fichier CSV pour une analyse plus approfondie :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4729} -MaxEvents 500 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Export-Csv -Path "C:\Temp\GroupRemovals.csv" -NoTypeInformation
03

Corréler avec les changements d'appartenance au groupe

Enquêter sur l'état actuel du groupe et vérifier que le changement de membre a été autorisé.

  1. Vérifier l'appartenance actuelle au groupe en utilisant PowerShell :
Get-ADGroupMember -Identity "GroupName" | Select-Object Name, SamAccountName, ObjectClass
  1. Examiner l'historique des modifications du groupe :
Get-ADGroup -Identity "GroupName" -Properties whenChanged, whenCreated, modifyTimeStamp | Select-Object Name, whenCreated, whenChanged, modifyTimeStamp
  1. Vérifier les événements liés (4728 pour les ajouts, 4730 pour les suppressions) :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4728,4729,4730} -MaxEvents 50 | Where-Object {$_.Message -like '*GroupName*'} | Sort-Object TimeCreated
  1. Vérifier que l'utilisateur qui a effectué l'action dispose des autorisations appropriées :
Get-ADUser -Identity "AdminUsername" -Properties MemberOf | Select-Object Name, @{Name='Groups';Expression={$_.MemberOf -join '; '}}
04

Mettre en œuvre une surveillance et une alerte avancées

Configurez une surveillance proactive pour suivre les changements d'appartenance aux groupes et détecter les modifications non autorisées.

  1. Créez une tâche planifiée pour surveiller les changements critiques de groupe :
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\MonitorGroupChanges.ps1"
$Trigger = New-ScheduledTaskTrigger -Daily -At "09:00AM"
Register-ScheduledTask -TaskName "Monitor Group Changes" -Action $Action -Trigger $Trigger -User "SYSTEM"
  1. Créez le script de surveillance (C:\Scripts\MonitorGroupChanges.ps1) :
# Script de surveillance des changements de groupe
$Yesterday = (Get-Date).AddDays(-1)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4729; StartTime=$Yesterday}

if ($Events) {
    $Report = $Events | ForEach-Object {
        $Message = $_.Message
        $TimeCreated = $_.TimeCreated
        # Analyser les détails de l'événement
        [PSCustomObject]@{
            Time = $TimeCreated
            Event = "Member Removed"
            Details = $Message
        }
    }
    $Report | Export-Csv -Path "C:\Logs\GroupChanges_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation
}
  1. Configurez le transfert des événements Windows pour une journalisation centralisée :
winrm quickconfig
wecutil cs subscription.xml
Astuce pro : Utilisez System Center Operations Manager ou Azure Sentinel pour une surveillance à l'échelle de l'entreprise de ces événements sur plusieurs contrôleurs de domaine.
05

Analyse Forensique et Rapport de Conformité

Effectuer une analyse médico-légale détaillée pour les incidents de sécurité ou les audits de conformité impliquant des changements d'appartenance à des groupes.

  1. Générer un rapport d'audit complet :
$StartDate = Read-Host "Entrez la date de début (MM/JJ/AAAA)"
$EndDate = Read-Host "Entrez la date de fin (MM/JJ/AAAA)"
$Start = Get-Date $StartDate
$End = Get-Date $EndDate

$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4729; StartTime=$Start; EndTime=$End}

$Report = $Events | ForEach-Object {
    $EventXML = [xml]$_.ToXml()
    $EventData = $EventXML.Event.EventData.Data
    
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SubjectUserName = ($EventData | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
        SubjectDomainName = ($EventData | Where-Object {$_.Name -eq 'SubjectDomainName'}).'#text'
        MemberName = ($EventData | Where-Object {$_.Name -eq 'MemberName'}).'#text'
        MemberSid = ($EventData | Where-Object {$_.Name -eq 'MemberSid'}).'#text'
        TargetUserName = ($EventData | Where-Object {$_.Name -eq 'TargetUserName'}).'#text'
        TargetDomainName = ($EventData | Where-Object {$_.Name -eq 'TargetDomainName'}).'#text'
    }
}

$Report | Export-Csv -Path "C:\Audit\GroupRemovalAudit_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation
  1. Recouper avec les journaux d'authentification :
$GroupEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4729} -MaxEvents 100
$AuthEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625} -MaxEvents 1000

# Corréler les événements par utilisateur et par temps
$Correlation = foreach ($GroupEvent in $GroupEvents) {
    $EventTime = $GroupEvent.TimeCreated
    $TimeWindow = $EventTime.AddMinutes(-30)..$EventTime.AddMinutes(30)
    
    $RelatedAuth = $AuthEvents | Where-Object {$_.TimeCreated -ge $TimeWindow[0] -and $_.TimeCreated -le $TimeWindow[1]}
    
    [PSCustomObject]@{
        GroupChangeTime = $EventTime
        GroupEvent = $GroupEvent.Message
        RelatedAuthentications = $RelatedAuth.Count
    }
}
Avertissement : Assurez-vous que des politiques de rétention appropriées sont en place pour les journaux de sécurité, car ces événements sont cruciaux pour les enquêtes médico-légales et peuvent être requis pour les audits de conformité.

Aperçu

L'ID d'événement 4729 se déclenche chaque fois qu'un membre est retiré d'un groupe global activé pour la sécurité dans Active Directory. Cet événement fait partie de l'audit de sécurité Windows et apparaît dans le journal de sécurité sur les contrôleurs de domaine lorsque des modifications de l'appartenance à un groupe se produisent. L'événement capture des détails critiques, y compris qui a effectué le retrait, quel compte a été retiré, de quel groupe, et quand l'action a eu lieu.

Cet événement est essentiel pour la surveillance de la sécurité, l'audit de conformité et l'investigation des changements d'accès non autorisés. Il aide les administrateurs à suivre les modifications de l'appartenance aux groupes qui pourraient affecter les autorisations des utilisateurs et l'accès au système. L'événement se déclenche sur le contrôleur de domaine qui traite le changement d'appartenance au groupe, ce qui le rend crucial pour la journalisation de sécurité centralisée.

Contrairement aux changements de groupes locaux, les modifications des groupes globaux sont répliquées sur tous les contrôleurs de domaine, rendant cet événement particulièrement important pour les environnements d'entreprise. L'événement fournit des informations d'attribution détaillées, permettant aux administrateurs de retracer les changements de groupe jusqu'à des comptes d'utilisateurs spécifiques et des horodatages.

Questions Fréquentes

Que signifie l'ID d'événement 4729 et pourquoi est-il important ?+
L'ID d'événement 4729 indique qu'un membre a été retiré d'un groupe global activé pour la sécurité dans Active Directory. Cet événement est crucial pour la surveillance de la sécurité car il suit les modifications des appartenances aux groupes qui affectent directement les autorisations des utilisateurs et les droits d'accès. Il fournit une piste d'audit montrant qui a retiré quel compte de quel groupe et quand, ce qui le rend essentiel pour les rapports de conformité et les enquêtes de sécurité.
Comment puis-je déterminer qui a supprimé un utilisateur d'un groupe en utilisant l'ID d'événement 4729 ?+
Les détails de l'événement contiennent une section 'Sujet' qui identifie le compte ayant effectué la suppression. Recherchez les champs 'Nom du compte' et 'Domaine du compte' sous la section Sujet. Vous pouvez également utiliser PowerShell pour analyser cette information : Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4729} | ForEach-Object {$_.Message -split '\n' | Where-Object {$_ -like '*Subject:*' -or $_ -like '*Account Name:*'}}. Cela vous montrera exactement quel compte administrateur a initié le changement d'appartenance au groupe.
Pourquoi est-ce que je vois l'ID d'événement 4729 sur plusieurs contrôleurs de domaine ?+
L'ID d'événement 4729 apparaît sur le contrôleur de domaine qui traite le changement d'appartenance au groupe. Cependant, vous pourriez voir des événements de réplication connexes sur d'autres contrôleurs de domaine à mesure que le changement se propage via la réplication Active Directory. Chaque contrôleur de domaine enregistre l'événement lorsqu'il traite le changement localement. Pour identifier le contrôleur de domaine d'origine, vérifiez le nom de l'ordinateur dans les détails de l'événement ou recherchez le premier horodatage parmi vos contrôleurs de domaine.
L'ID d'événement 4729 peut-il m'aider à suivre les modifications non autorisées de groupe ?+
Oui, l'ID d'événement 4729 est excellent pour détecter les modifications non autorisées de groupes. Surveillez ces événements pour les changements dans les groupes sensibles comme Domain Admins, Enterprise Admins, ou des groupes privilégiés personnalisés. Configurez des alertes pour tout événement 4729 affectant des groupes critiques, surtout en dehors des heures de travail. Recoupez le compte 'Subject' avec votre liste d'administrateurs autorisés. Utilisez PowerShell pour filtrer les événements : Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4729} | Where-Object {$_.Message -like '*Domain Admins*' -or $_.Message -like '*Enterprise Admins*'}.
Combien de temps les enregistrements d'ID d'événement 4729 sont-ils conservés et comment puis-je prolonger la rétention ?+
Par défaut, la rétention des journaux de sécurité dépend de vos paramètres de journal des événements, généralement 20 Mo avec réécriture si nécessaire. Pour la conformité et la surveillance de la sécurité, prolongez la rétention en augmentant la taille maximale du journal dans les propriétés de l'Observateur d'événements ou configurez le transfert de journaux vers un collecteur central. Utilisez PowerShell pour vérifier les paramètres actuels : Get-WinEvent -ListLog Security | Select-Object LogName, MaximumSizeInBytes, LogMode. Pour une rétention à long terme, implémentez le transfert d'événements Windows (WEF) ou exportez les événements vers une solution SIEM. Envisagez d'archiver les événements de plus de 90 jours vers un stockage séparé tout en maintenant un accès immédiat aux événements récents.
Documentation

Références (2)

1
Microsoft Security Auditing Events DocumentationComprehensive guide to Windows security auditing events including Event ID 4729 and related group management events.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial documentation on configuring advanced audit policies for account management and group membership tracking.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#active-directory#security-auditing#event-id-4729

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...