elnino
Goto Top

Bezeichnung eines Objektes einer AD aus einer SID auslesen

Unser Virenserver, Symantec Endpoint Protection, zeigt bei einem Scan den Ort von gefundenen infizierten Dateien nur so an:

Volume{9712d98a-31a3-11de-a1e3-505054503030}/Privat/RECYCLER/S-5-3-42-2819952290-8240758988-879315005-3665/jwgkvsq.vmx


Welche Möglichkeiten habe ich nun herauszufinden, welchem Nutzer der Privat-Ordner gehört?
Mit dem Tool psgetsid funktioniert es nicht. Damit kann ich ich mir zwar die SIDs meiner Nutzer ansehen, doch stimmen die Werte nicht überein.

Content-ID: 116431

Url: https://administrator.de/contentid/116431

Ausgedruckt am: 08.11.2024 um 19:11 Uhr

an-wei
an-wei 20.05.2009 um 08:47:05 Uhr
Goto Top
das objekt befindet sich im papierkorb des users. das muss auch nicht unbedingt ein infiziertes objekt sein. wir hatten das problem auch, und seid wir den symantec quarantäne server im einsatz haben, werden alle verdaechtigen objekte auf den server uebertragen.

schau dir mal das tool SidToName an, vielleicht kann man damit was anfangen
-> http://www.joeware.net/freetools/tools/sidtoname/index.htm

gruss
andré
ElNino
ElNino 20.05.2009 um 08:56:38 Uhr
Goto Top
Wenn ich es mit dem Tool versuche bekomme ich folgende Fehlermeldung

ERROR: LookupAccountSid: (1332) Zuordnungen von Kontennamen und Sicherheitskennungen
wurden nicht durchgeführt


Das ist die gleiche Meldung wie mit dem Tool psgetSID
an-wei
an-wei 20.05.2009 um 09:28:39 Uhr
Goto Top
schau mal bei microsoft -> http://support.microsoft.com/?kbid=324383

die meldung: "zuordnungen von kontennamen und sicherheitskennungen wurden nicht durchgefuehrt" deutet darauf hin, das richtlinien auf benutzerkonten weiter vererbt werden, die nicht mehr vorhanden sind.

gug mal unter %systemroot%\security\logs\ in der winlogon.log und suche nach dem fehler 1332. damit findest du accounts, die nicht aufgeloest werden koennen.

gruss
andré