Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Unbekannter Gruppen und Benutzername

Mitglied: denseman

denseman (Level 1) - Jetzt verbinden

10.09.2019, aktualisiert 10:26 Uhr, 600 Aufrufe, 37 Kommentare, 10 Danke

Guten Tag,

seit längerem vermute ich, dass mein ehemaliger Firmenlaptop "nicht ganz sauber ist".

Gestern bemerkte ich einen mir unbekannten Benutzernamen (Ordner > Eigenschaften > Sicherheit), welcher für ca. 2 Sekunden sichtbar war - konnte das aber nicht reproduzieren.

Heute morgen bemerkte ich, dass was im Hintergrund "rödelt". Öffnete sofort Ordner > Eigenschaften > Sicherheit und PRINT.

unbenannt - Klicke auf das Bild, um es zu vergrößern

Nach 2 Sekunden verschwand "er".

Was ist geschehen? Was sollte ich tun?

Vielen Dank für eure Mühe.
37 Antworten
Mitglied: emeriks
10.09.2019, aktualisiert um 10:32 Uhr
Hi,
der verschwindet garantiert nicht, sondern wird durch einen Klarnamen ersetzt. Dieses Verhalten ist vollkommen normal.
In ACL's stehen nur SID. Wenn eine ACL angezeigt werden soll, dann werden diese SID asynchron in Namen aufgelöst. Dabei kann es vorkommen, dass das bei einigen SID etwas länger dauert, z.B. wenn diese aus vertrauten Domänen kommen, oder aus Domänen, wo der Kontakt zum DC etwas länger dauert, z.B. weil der DC "hinter" einem WAN steht oder gerade arg beschäftigt ist oder das Netzwerk lahm ist.

E.
Bitte warten ..
Mitglied: tomolpi
10.09.2019 um 10:30 Uhr
Hallo Denis,

schnell nach der SID gegoogelt: https://support.microsoft.com/de-de/help/243330/well-known-security-iden ...
Da siehst du, was das ist und wozu es gehört.

Hast du den Laptop, als du ihn von deiner Firma bekommen hast, platt gemacht? Oder ist der noch komplett im Firmennetz drin?

LG
tomolpi
Bitte warten ..
Mitglied: denseman
10.09.2019 um 10:58 Uhr
schnell nach der SID gegoogelt: https://support.microsoft.com/de-de/help/243330/well-known-security-iden ...
Da siehst du, was das ist und wozu es gehört.

SID: S-1-5-21 Domäne-500
Name: Administrator
Beschreibung: Benutzerkonto für den Systemadministrator. Es handelt sich um das einzige Benutzerkonto, das standardmäßig uneingeschränkten Zugriff auf das System hat.


Hast du den Laptop, als du ihn von deiner Firma bekommen hast, platt gemacht?
Nein.

Oder ist der noch komplett im Firmennetz drin?
Nicht das ich wüsste. *Kopf gegen die Wandschlag*

Aktuell:

wmic - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Hubert.N
10.09.2019 um 11:01 Uhr
Moin

Das ist relativ einfach. Es handelt sich um die SID eines normalen Domänenaccounts.

Aber wenn es dein ehemaliger Firmnenlaptop ist, den Du jetzt privat nutzt, ist es doch ohnehin klar, dass man den erst mal platt macht und neu aufsetzt.

GRuß
Bitte warten ..
Mitglied: Hubert.N
10.09.2019 um 11:07 Uhr
Zitat von denseman:
SID: S-1-5-21 Domäne-500
Name: Administrator
Beschreibung: Benutzerkonto für den Systemadministrator. Es handelt sich um das einzige Benutzerkonto, das standardmäßig uneingeschränkten Zugriff auf das System hat

... knapp daneben ist auch vorbei Die beschriebene SID hat hinten eine 1001 stehen... Und damit ist es erst einmal nicht das eingebaute Adminkonto.
Bitte warten ..
Mitglied: denseman
10.09.2019 um 12:39 Uhr
Wie kann ich die Quelle bestimmen? Es rödelt schon wieder.

unbenannt-neu - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: emeriks
LÖSUNG 10.09.2019 um 13:04 Uhr
Zitat von denseman:
Wie kann ich die Quelle bestimmen? Es rödelt schon wieder.
Ich kann mir nicht vorstellen, dass dieser Eintrag einfach so verschwindet. Warte ab und lass ihn machen. Wenn er die SID mit einem Namen ersetzt hat, dann weißt Du, wer das ist. Wenn er diese SID nicht ersetzt, dann gehört sie zu einer Domäne, zu welcher der PC keinen Kontakt mehr hat. Dann wäre der Eintrag auch irrelevant und Du kannst ihn einfach entfernen und fertig aus.
Bitte warten ..
Mitglied: denseman
10.09.2019 um 13:12 Uhr
>Wenn er die SID mit einem Namen ersetzt hat, dann weißt Du, wer das ist.

Wie?
Bitte warten ..
Mitglied: emeriks
10.09.2019 um 13:18 Uhr
Die Anzeige dann lesen? Oder vorlesen lassen?
Bitte warten ..
Mitglied: aqui
LÖSUNG 10.09.2019 um 13:22 Uhr
Und wenn man mal sehen möchte was so im Hintergrund "rödelt":
https://www.heise.de/select/ct/2019/16/1564407044105754
Bitte warten ..
Mitglied: Hubert.N
LÖSUNG 10.09.2019 um 13:26 Uhr
schaue unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList nach. ob Du einen korrespondieren Eintrag findest. Da wird es dann auch den Pfad zum Profilordner geben.

Ich denke aber mal, dass Du Dir da nur etwas zurechtlegst. Wie emeriks schon geschrieben hat: Wird der Eintrag nicht ersetzt, kann man ihn auch entfernen.

Wenn Du Dir Sorge machst, weil das Notebook irgendwelche Dinge tut, die Dir komisch vorkommen, dann wäre es eher der Ansatz nach dem dazugehörigen Prozess zu suchen.

Gruß
Bitte warten ..
Mitglied: emeriks
10.09.2019 um 13:32 Uhr
Wie war das gleich? Ist hier nicht Werbung für kommerzielle Dienste verboten?
Bitte warten ..
Mitglied: Bitboy
10.09.2019 um 13:37 Uhr
Hi,

wie wärs mit einfach die IT der Firma fragen?
Wenns den User noch im AD gibt, dann lässt er sich mit der SID finden.

Wäre aber schon grenzwertig einen Firmenlaptop ohne Datenlöschung in privaten Besitz übergehen zu lassen...

Grüße
Bitte warten ..
Mitglied: denseman
10.09.2019 um 13:47 Uhr
>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

registry - Klicke auf das Bild, um es zu vergrößern

Sehe keine ProfilList.
Bitte warten ..
Mitglied: denseman
10.09.2019, aktualisiert um 13:52 Uhr
IT = Geschäftsführer

>Wäre aber schon grenzwertig einen Firmenlaptop ohne Datenlöschung in privaten Besitz übergehen zu lassen...

War dann wohl so gewollt. (bin Gesellschafter)

Wenns den User noch im AD gibt, dann lässt er sich mit der SID finden.

Was ist AD?
Bitte warten ..
Mitglied: denseman
10.09.2019 um 13:50 Uhr
@emeriks: Sysinternals Process Explorer ist kein kommerzieller Dienst.
Bitte warten ..
Mitglied: Hubert.N
10.09.2019 um 13:55 Uhr
Sehe keine ProfilList.

Doch... Wenn Du auf das "+" klickst...
Bitte warten ..
Mitglied: emeriks
10.09.2019 um 13:57 Uhr
Zitat von denseman:
@emeriks: Sysinternals Process Explorer ist kein kommerzieller Dienst.
Nein, aber die Heise-Seite ...
Bitte warten ..
Mitglied: denseman
10.09.2019, aktualisiert um 14:03 Uhr
profile - Klicke auf das Bild, um es zu vergrößern

Und jetzt?
Bitte warten ..
Mitglied: emeriks
10.09.2019 um 14:02 Uhr
Das ist aber die 1000 und nicht die 1001.
Bitte warten ..
Mitglied: denseman
10.09.2019 um 14:44 Uhr
Und nun?
Bitte warten ..
Mitglied: emeriks
10.09.2019 um 14:49 Uhr
Nun was? Wir haben doch schon alles geschrieben. Soll jetzt jemand von uns vorbeikommen und das für Dich machen?
Bitte warten ..
Mitglied: denseman
10.09.2019 um 14:53 Uhr
Das wär lieb. ;)

Ich sehe jetzt als Laie keinen direkten Zusammenhang zwischen der SID und dem dazugehörigen relevanten Prozess.

Darüberhinaus ist 1000 ungleich 1001.
Bitte warten ..
Mitglied: emeriks
10.09.2019 um 15:03 Uhr
Was sollen wir noch schreiben?
Wenn der PC ein ehemaliger Firmen-PC ist, dann ist er wahrscheinlich auch ein ehemaliges Domänen-Mitglied.
Und wenn da jetzt noch in diversen ACL diverse ACE drin stehen, wo er die SID der ehemaligen Domäne nicht mehr Namen auflösen kann, dann können diese ACE auch aus der ACL gelöscht werden. Denn wenn der Computer jetzt kein Mitglied dieser Domäne mehr ist, dann wird er auch nicht mehr diesem Konto vertrauen und die ACE ist unwirksam. Also kann sie gelöscht werden.

Du kannst aber auch noch mal fragen: "Was nun?"
Dann kann ich meinen Text nochmal kopieren und nochmal damit antworten.
Bitte warten ..
Mitglied: denseman
10.09.2019 um 15:14 Uhr
>Denn wenn der Computer jetzt kein Mitglied dieser Domäne mehr ist,

-> Wäre er kein Mitglied mehr, würde es doch nicht so erbitterlich rödeln.
Bitte warten ..
Mitglied: emeriks
10.09.2019 um 15:23 Uhr
Zitat von denseman:
-> Wäre er kein Mitglied mehr, würde es doch nicht so erbitterlich rödeln.
Soll er es denn noch sein?
Ist er es denn noch? Das kann man kontrollieren. Computer - Eigenschaften - Computername
Und wenn Frage 2 ja und Frage 1 nein, dann lass den Computer aus der Domäne austreten. Oder besser - lass es von jemanden machen.
Bitte warten ..
Mitglied: Bitboy
10.09.2019 um 16:23 Uhr
Du könntest in der Powershell mal folgendes eingeben:
Get-WmiObject win32_useraccount | select name,sid
Bitte warten ..
Mitglied: denseman
10.09.2019 um 17:07 Uhr
Meinst du so:

powershel1l - Klicke auf das Bild, um es zu vergrößern

(Gast habe ich in der Zwischenzeit selber angelegt)
Bitte warten ..
Mitglied: Penny.Cilin
10.09.2019 um 17:57 Uhr
Zitat von denseman:

IT = Geschäftsführer
Häh? Wieso ist IT gleich Geschäftsführer???

>>Wäre aber schon grenzwertig einen Firmenlaptop ohne Datenlöschung in privaten Besitz übergehen zu lassen...

War dann wohl so gewollt. (bin Gesellschafter)

Wenns den User noch im AD gibt, dann lässt er sich mit der SID finden.

Was ist AD?
Upps, das weißt Du nicht???
AD := Active Directory
Ein Verzeichnisdienst von Microsoft

Gruss Penny.
Bitte warten ..
Mitglied: emeriks
10.09.2019 um 18:09 Uhr
Also laut Screenshot kein Domänen-Mitglied.
Und wieder also lösche diesen dämlichen Eintrag aus den ACL und fertig aus.
Oder Alu-Hut. Soll auch helfen.
Bitte warten ..
Mitglied: tomolpi
10.09.2019 um 19:08 Uhr
Zitat von emeriks:

Also laut Screenshot kein Domänen-Mitglied.
Und wieder also lösche diesen dämlichen Eintrag aus den ACL und fertig aus.
Oder Alu-Hut. Soll auch helfen.
Alles platt machen, Windows 7 ist ja eh bald EOL 😉
Bitte warten ..
Mitglied: Andrew01
10.09.2019 um 20:35 Uhr
Nabend


du weisst nicht was ein AD ist?
Und statt Iim Taskmanager zu schauen was da rödelt öffnet man die Sicherheits Eigenschaften eines Ordners?

Mm Aluhut! (Das sind die Admins die sind alle krank!! Die laden da Sachen über deinen Laptop runter weil ihr Internet Anschluss zu langsam ist. Ja sowas machen die! Verrückte Admins pffffft!!

Ah der Download auf dem User Laptop ist fertig... Ich habe zu tun.. geheime Admin Sachen!!!

Gruss Andreas
Bitte warten ..
Mitglied: denseman
10.09.2019 um 20:52 Uhr
Darauf habe ich gewartet. Danke!
Bitte warten ..
Mitglied: Andrew01
10.09.2019 um 22:03 Uhr
Ja ich auf die Frage auch wie du siehst.
Du hast ein Win7 welche Version? Pro, Home etc.
Product Key auslesen. Win10 runterladen auf USB Stick gleiche Version. Neu installieren und erledigt. Der Rest ist Unfug daher auch die wenig zielführende Antwort

Gruss Andreas
Bitte warten ..
Mitglied: denseman
10.09.2019 um 22:20 Uhr
Mich interessiert die Ursache - nicht die Symptombeseitigung.
Bitte warten ..
Mitglied: Andrew01
10.09.2019 um 23:14 Uhr
Ja ja ist ok. Also der technische Hintergrund? Kam so gar nicht rüber in deiner Frage.

Aber zu nicht aufgelösten SID wurde ja schon genug geschrieben.
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Mailempfänger unbekannt
Frage von JensDNDExchange Server10 Kommentare

Hallo Admins, wir haben eine MSExchange2016 eine Kollegin hat sein einiger Zeit das Problem, daß Mails an interne Adressen ...

Windows Server

RAID einbinden - Konfiguration unbekannt - Board defekt

gelöst Frage von Jens1982Windows Server9 Kommentare

Hallo Leute, und zwar stehe ich von einem Problem. Ich würde gerne ein RAID einbinden. Es ist ein Hardware ...

Switche und Hubs

HP1810G-24 Switch Passwort unbekannt:

gelöst Frage von DorianSwitche und Hubs4 Kommentare

Hallo zusammen und einen schönen guten Abend, ich habe hier einen produktiven HP Switch (HP1810G-24) hier wurde kein Passwort ...

Batch & Shell

"Konto unbekannt" auf AD-Clients per Powershell löschen

gelöst Frage von rudeboyBatch & Shell6 Kommentare

Hallo zusammen, bei der letzten Clientrechner-Wartung hatte ich diverse, veraltete bzw. unbekannte Profile. Da kam mir die Idee regelmäßig ...

Neue Wissensbeiträge
Windows Server

Active Directory ESE Version Store Changes in Server 2019

Information von Dani vor 3 TagenWindows Server

Moin, Last month at Microsoft Ignite, many exciting new features rolling out in Server 2019 were talked about. But ...

Exchange Server

Microsoft Extending End of Support for Exchange Server 2010

Information von Dani vor 3 TagenExchange Server4 Kommentare

Moin, After investigating and analyzing the deployment state of an extensive number of Exchange customers we have decided to ...

Schulung & Training

Humble Book Bundle: Network and Security Certification 2.0

Tipp von NetzwerkDude vor 3 TagenSchulung & Training

Abend, bei HumbleBundle gibts mal wider ein schönes Paket e-books: sind verschiedene Zertifizierungen wie MCSA, CCNA, CompTIA etc., für ...

Voice over IP

Telekom Umstellung von ISDN Anlagenanschluss auf IP-Telefonie

Erfahrungsbericht von NixVerstehen vor 6 TagenVoice over IP10 Kommentare

Hallo zusammen, nachdem nun vor ein paar Tagen die zwangsweise Umstellung von ISDN auf IP-Telefonie problemlos über die Bühne ...

Heiß diskutierte Inhalte
VB for Applications
Euro-Zeichen in jedem neu erstellten Brief mit Word automatisch entfernen
gelöst Frage von imebroVB for Applications23 Kommentare

Hallo, ich habe ein Problem mit Word, bzw. mit dem €-Zeichen, welches bei Erstellung eines Word-Briefes automatisch eingesetzt wird. ...

Batch & Shell
Regedit eintrad ändern als Admin
Frage von cyberworm83Batch & Shell19 Kommentare

Hallo zusammen, ich bin derzeit als Rollout Techniker unterwegs und muss täglich bei zig Rechnern einen Registry Einträg ändern ...

LAN, WAN, Wireless
Gebäude mit LWL-Anschlüssen ausstatten - VorNachteile?
Frage von staybbLAN, WAN, Wireless17 Kommentare

Hallo zusammen, es gibt ja mittlerweile viele Firmen die nicht nur ihre Backbones mit FibreChannel anbinden sondern auch direkt ...

Visual Studio
Prüfen, ob Programm schon disposed wurde
Frage von MarcoBornVisual Studio17 Kommentare

Hallo Forum, ich habe in VB.NET ein Programm geschrieben, welches Word startet und dort Daten ausliest. Obwohl ich die ...