Bezeichnung eines Objektes einer AD aus einer SID auslesen
Unser Virenserver, Symantec Endpoint Protection, zeigt bei einem Scan den Ort von gefundenen infizierten Dateien nur so an:
Volume{9712d98a-31a3-11de-a1e3-505054503030}/Privat/RECYCLER/S-5-3-42-2819952290-8240758988-879315005-3665/jwgkvsq.vmx
Welche Möglichkeiten habe ich nun herauszufinden, welchem Nutzer der Privat-Ordner gehört?
Mit dem Tool psgetsid funktioniert es nicht. Damit kann ich ich mir zwar die SIDs meiner Nutzer ansehen, doch stimmen die Werte nicht überein.
Volume{9712d98a-31a3-11de-a1e3-505054503030}/Privat/RECYCLER/S-5-3-42-2819952290-8240758988-879315005-3665/jwgkvsq.vmx
Welche Möglichkeiten habe ich nun herauszufinden, welchem Nutzer der Privat-Ordner gehört?
Mit dem Tool psgetsid funktioniert es nicht. Damit kann ich ich mir zwar die SIDs meiner Nutzer ansehen, doch stimmen die Werte nicht überein.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 116431
Url: https://administrator.de/contentid/116431
Ausgedruckt am: 08.11.2024 um 19:11 Uhr
3 Kommentare
Neuester Kommentar
das objekt befindet sich im papierkorb des users. das muss auch nicht unbedingt ein infiziertes objekt sein. wir hatten das problem auch, und seid wir den symantec quarantäne server im einsatz haben, werden alle verdaechtigen objekte auf den server uebertragen.
schau dir mal das tool SidToName an, vielleicht kann man damit was anfangen
-> http://www.joeware.net/freetools/tools/sidtoname/index.htm
gruss
andré
schau dir mal das tool SidToName an, vielleicht kann man damit was anfangen
-> http://www.joeware.net/freetools/tools/sidtoname/index.htm
gruss
andré
schau mal bei microsoft -> http://support.microsoft.com/?kbid=324383
die meldung: "zuordnungen von kontennamen und sicherheitskennungen wurden nicht durchgefuehrt" deutet darauf hin, das richtlinien auf benutzerkonten weiter vererbt werden, die nicht mehr vorhanden sind.
gug mal unter %systemroot%\security\logs\ in der winlogon.log und suche nach dem fehler 1332. damit findest du accounts, die nicht aufgeloest werden koennen.
gruss
andré
die meldung: "zuordnungen von kontennamen und sicherheitskennungen wurden nicht durchgefuehrt" deutet darauf hin, das richtlinien auf benutzerkonten weiter vererbt werden, die nicht mehr vorhanden sind.
gug mal unter %systemroot%\security\logs\ in der winlogon.log und suche nach dem fehler 1332. damit findest du accounts, die nicht aufgeloest werden koennen.
gruss
andré