Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Unbekannter Gruppen und Benutzername

Mitglied: denseman

denseman (Level 1) - Jetzt verbinden

10.09.2019, aktualisiert 10:26 Uhr, 974 Aufrufe, 37 Kommentare, 10 Danke

Guten Tag,

seit längerem vermute ich, dass mein ehemaliger Firmenlaptop "nicht ganz sauber ist".

Gestern bemerkte ich einen mir unbekannten Benutzernamen (Ordner > Eigenschaften > Sicherheit), welcher für ca. 2 Sekunden sichtbar war - konnte das aber nicht reproduzieren.

Heute morgen bemerkte ich, dass was im Hintergrund "rödelt". Öffnete sofort Ordner > Eigenschaften > Sicherheit und PRINT.

unbenannt - Klicke auf das Bild, um es zu vergrößern

Nach 2 Sekunden verschwand "er".

Was ist geschehen? Was sollte ich tun?

Vielen Dank für eure Mühe.
37 Antworten
Mitglied: emeriks
10.09.2019, aktualisiert um 10:32 Uhr
Hi,
der verschwindet garantiert nicht, sondern wird durch einen Klarnamen ersetzt. Dieses Verhalten ist vollkommen normal.
In ACL's stehen nur SID. Wenn eine ACL angezeigt werden soll, dann werden diese SID asynchron in Namen aufgelöst. Dabei kann es vorkommen, dass das bei einigen SID etwas länger dauert, z.B. wenn diese aus vertrauten Domänen kommen, oder aus Domänen, wo der Kontakt zum DC etwas länger dauert, z.B. weil der DC "hinter" einem WAN steht oder gerade arg beschäftigt ist oder das Netzwerk lahm ist.

E.
Bitte warten ..
Mitglied: tomolpi
10.09.2019 um 10:30 Uhr
Hallo Denis,

schnell nach der SID gegoogelt: https://support.microsoft.com/de-de/help/243330/well-known-security-iden ...
Da siehst du, was das ist und wozu es gehört.

Hast du den Laptop, als du ihn von deiner Firma bekommen hast, platt gemacht? Oder ist der noch komplett im Firmennetz drin?

LG
tomolpi
Bitte warten ..
Mitglied: denseman
10.09.2019 um 10:58 Uhr
schnell nach der SID gegoogelt: https://support.microsoft.com/de-de/help/243330/well-known-security-iden ...
Da siehst du, was das ist und wozu es gehört.

SID: S-1-5-21 Domäne-500
Name: Administrator
Beschreibung: Benutzerkonto für den Systemadministrator. Es handelt sich um das einzige Benutzerkonto, das standardmäßig uneingeschränkten Zugriff auf das System hat.


Hast du den Laptop, als du ihn von deiner Firma bekommen hast, platt gemacht?
Nein.

Oder ist der noch komplett im Firmennetz drin?
Nicht das ich wüsste. *Kopf gegen die Wandschlag*

Aktuell:

wmic - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Hubert.N
10.09.2019 um 11:01 Uhr
Moin

Das ist relativ einfach. Es handelt sich um die SID eines normalen Domänenaccounts.

Aber wenn es dein ehemaliger Firmnenlaptop ist, den Du jetzt privat nutzt, ist es doch ohnehin klar, dass man den erst mal platt macht und neu aufsetzt.

GRuß
Bitte warten ..
Mitglied: Hubert.N
10.09.2019 um 11:07 Uhr
Zitat von denseman:
SID: S-1-5-21 Domäne-500
Name: Administrator
Beschreibung: Benutzerkonto für den Systemadministrator. Es handelt sich um das einzige Benutzerkonto, das standardmäßig uneingeschränkten Zugriff auf das System hat

... knapp daneben ist auch vorbei Die beschriebene SID hat hinten eine 1001 stehen... Und damit ist es erst einmal nicht das eingebaute Adminkonto.
Bitte warten ..
Mitglied: denseman
10.09.2019 um 12:39 Uhr
Wie kann ich die Quelle bestimmen? Es rödelt schon wieder.

unbenannt-neu - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: emeriks
LÖSUNG 10.09.2019 um 13:04 Uhr
Zitat von denseman:
Wie kann ich die Quelle bestimmen? Es rödelt schon wieder.
Ich kann mir nicht vorstellen, dass dieser Eintrag einfach so verschwindet. Warte ab und lass ihn machen. Wenn er die SID mit einem Namen ersetzt hat, dann weißt Du, wer das ist. Wenn er diese SID nicht ersetzt, dann gehört sie zu einer Domäne, zu welcher der PC keinen Kontakt mehr hat. Dann wäre der Eintrag auch irrelevant und Du kannst ihn einfach entfernen und fertig aus.
Bitte warten ..
Mitglied: denseman
10.09.2019 um 13:12 Uhr
>Wenn er die SID mit einem Namen ersetzt hat, dann weißt Du, wer das ist.

Wie?
Bitte warten ..
Mitglied: emeriks
10.09.2019 um 13:18 Uhr
Die Anzeige dann lesen? Oder vorlesen lassen?
Bitte warten ..
Mitglied: aqui
LÖSUNG 10.09.2019 um 13:22 Uhr
Und wenn man mal sehen möchte was so im Hintergrund "rödelt":
https://www.heise.de/select/ct/2019/16/1564407044105754
Bitte warten ..
Mitglied: Hubert.N
LÖSUNG 10.09.2019 um 13:26 Uhr
schaue unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList nach. ob Du einen korrespondieren Eintrag findest. Da wird es dann auch den Pfad zum Profilordner geben.

Ich denke aber mal, dass Du Dir da nur etwas zurechtlegst. Wie emeriks schon geschrieben hat: Wird der Eintrag nicht ersetzt, kann man ihn auch entfernen.

Wenn Du Dir Sorge machst, weil das Notebook irgendwelche Dinge tut, die Dir komisch vorkommen, dann wäre es eher der Ansatz nach dem dazugehörigen Prozess zu suchen.

Gruß
Bitte warten ..
Mitglied: emeriks
10.09.2019 um 13:32 Uhr
Wie war das gleich? Ist hier nicht Werbung für kommerzielle Dienste verboten?
Bitte warten ..
Mitglied: Bitboy
10.09.2019 um 13:37 Uhr
Hi,

wie wärs mit einfach die IT der Firma fragen?
Wenns den User noch im AD gibt, dann lässt er sich mit der SID finden.

Wäre aber schon grenzwertig einen Firmenlaptop ohne Datenlöschung in privaten Besitz übergehen zu lassen...

Grüße
Bitte warten ..
Mitglied: denseman
10.09.2019 um 13:47 Uhr
>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

registry - Klicke auf das Bild, um es zu vergrößern

Sehe keine ProfilList.
Bitte warten ..
Mitglied: denseman
10.09.2019, aktualisiert um 13:52 Uhr
IT = Geschäftsführer

>Wäre aber schon grenzwertig einen Firmenlaptop ohne Datenlöschung in privaten Besitz übergehen zu lassen...

War dann wohl so gewollt. (bin Gesellschafter)

Wenns den User noch im AD gibt, dann lässt er sich mit der SID finden.

Was ist AD?
Bitte warten ..
Mitglied: denseman
10.09.2019 um 13:50 Uhr
@emeriks: Sysinternals Process Explorer ist kein kommerzieller Dienst.
Bitte warten ..
Mitglied: Hubert.N
10.09.2019 um 13:55 Uhr
Sehe keine ProfilList.

Doch... Wenn Du auf das "+" klickst...
Bitte warten ..
Mitglied: emeriks
10.09.2019 um 13:57 Uhr
Zitat von denseman:
@emeriks: Sysinternals Process Explorer ist kein kommerzieller Dienst.
Nein, aber die Heise-Seite ...
Bitte warten ..
Mitglied: denseman
10.09.2019, aktualisiert um 14:03 Uhr
profile - Klicke auf das Bild, um es zu vergrößern

Und jetzt?
Bitte warten ..
Mitglied: emeriks
10.09.2019 um 14:02 Uhr
Das ist aber die 1000 und nicht die 1001.
Bitte warten ..
Mitglied: denseman
10.09.2019 um 14:44 Uhr
Und nun?
Bitte warten ..
Mitglied: emeriks
10.09.2019 um 14:49 Uhr
Nun was? Wir haben doch schon alles geschrieben. Soll jetzt jemand von uns vorbeikommen und das für Dich machen?
Bitte warten ..
Mitglied: denseman
10.09.2019 um 14:53 Uhr
Das wär lieb. ;)

Ich sehe jetzt als Laie keinen direkten Zusammenhang zwischen der SID und dem dazugehörigen relevanten Prozess.

Darüberhinaus ist 1000 ungleich 1001.
Bitte warten ..
Mitglied: emeriks
10.09.2019 um 15:03 Uhr
Was sollen wir noch schreiben?
Wenn der PC ein ehemaliger Firmen-PC ist, dann ist er wahrscheinlich auch ein ehemaliges Domänen-Mitglied.
Und wenn da jetzt noch in diversen ACL diverse ACE drin stehen, wo er die SID der ehemaligen Domäne nicht mehr Namen auflösen kann, dann können diese ACE auch aus der ACL gelöscht werden. Denn wenn der Computer jetzt kein Mitglied dieser Domäne mehr ist, dann wird er auch nicht mehr diesem Konto vertrauen und die ACE ist unwirksam. Also kann sie gelöscht werden.

Du kannst aber auch noch mal fragen: "Was nun?"
Dann kann ich meinen Text nochmal kopieren und nochmal damit antworten.
Bitte warten ..
Mitglied: denseman
10.09.2019 um 15:14 Uhr
>Denn wenn der Computer jetzt kein Mitglied dieser Domäne mehr ist,

-> Wäre er kein Mitglied mehr, würde es doch nicht so erbitterlich rödeln.
Bitte warten ..
Mitglied: emeriks
10.09.2019 um 15:23 Uhr
Zitat von denseman:
-> Wäre er kein Mitglied mehr, würde es doch nicht so erbitterlich rödeln.
Soll er es denn noch sein?
Ist er es denn noch? Das kann man kontrollieren. Computer - Eigenschaften - Computername
Und wenn Frage 2 ja und Frage 1 nein, dann lass den Computer aus der Domäne austreten. Oder besser - lass es von jemanden machen.
Bitte warten ..
Mitglied: Bitboy
10.09.2019 um 16:23 Uhr
Du könntest in der Powershell mal folgendes eingeben:
Get-WmiObject win32_useraccount | select name,sid
Bitte warten ..
Mitglied: denseman
10.09.2019 um 17:07 Uhr
Meinst du so:

powershel1l - Klicke auf das Bild, um es zu vergrößern

(Gast habe ich in der Zwischenzeit selber angelegt)
Bitte warten ..
Mitglied: Penny.Cilin
10.09.2019 um 17:57 Uhr
Zitat von denseman:

IT = Geschäftsführer
Häh? Wieso ist IT gleich Geschäftsführer???

>>Wäre aber schon grenzwertig einen Firmenlaptop ohne Datenlöschung in privaten Besitz übergehen zu lassen...

War dann wohl so gewollt. (bin Gesellschafter)

Wenns den User noch im AD gibt, dann lässt er sich mit der SID finden.

Was ist AD?
Upps, das weißt Du nicht???
AD := Active Directory
Ein Verzeichnisdienst von Microsoft

Gruss Penny.
Bitte warten ..
Mitglied: emeriks
10.09.2019 um 18:09 Uhr
Also laut Screenshot kein Domänen-Mitglied.
Und wieder also lösche diesen dämlichen Eintrag aus den ACL und fertig aus.
Oder Alu-Hut. Soll auch helfen.
Bitte warten ..
Mitglied: tomolpi
10.09.2019 um 19:08 Uhr
Zitat von emeriks:

Also laut Screenshot kein Domänen-Mitglied.
Und wieder also lösche diesen dämlichen Eintrag aus den ACL und fertig aus.
Oder Alu-Hut. Soll auch helfen.
Alles platt machen, Windows 7 ist ja eh bald EOL 😉
Bitte warten ..
Mitglied: Andrew01
10.09.2019 um 20:35 Uhr
Nabend


du weisst nicht was ein AD ist?
Und statt Iim Taskmanager zu schauen was da rödelt öffnet man die Sicherheits Eigenschaften eines Ordners?

Mm Aluhut! (Das sind die Admins die sind alle krank!! Die laden da Sachen über deinen Laptop runter weil ihr Internet Anschluss zu langsam ist. Ja sowas machen die! Verrückte Admins pffffft!!

Ah der Download auf dem User Laptop ist fertig... Ich habe zu tun.. geheime Admin Sachen!!!

Gruss Andreas
Bitte warten ..
Mitglied: denseman
10.09.2019 um 20:52 Uhr
Darauf habe ich gewartet. Danke!
Bitte warten ..
Mitglied: Andrew01
10.09.2019 um 22:03 Uhr
Ja ich auf die Frage auch wie du siehst.
Du hast ein Win7 welche Version? Pro, Home etc.
Product Key auslesen. Win10 runterladen auf USB Stick gleiche Version. Neu installieren und erledigt. Der Rest ist Unfug daher auch die wenig zielführende Antwort

Gruss Andreas
Bitte warten ..
Mitglied: denseman
10.09.2019 um 22:20 Uhr
Mich interessiert die Ursache - nicht die Symptombeseitigung.
Bitte warten ..
Mitglied: Andrew01
10.09.2019 um 23:14 Uhr
Ja ja ist ok. Also der technische Hintergrund? Kam so gar nicht rüber in deiner Frage.

Aber zu nicht aufgelösten SID wurde ja schon genug geschrieben.
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Mailempfänger unbekannt
Frage von JensDNDExchange Server10 Kommentare

Hallo Admins, wir haben eine MSExchange2016 eine Kollegin hat sein einiger Zeit das Problem, daß Mails an interne Adressen ...

Windows Server

RAID einbinden - Konfiguration unbekannt - Board defekt

gelöst Frage von Jens1982Windows Server9 Kommentare

Hallo Leute, und zwar stehe ich von einem Problem. Ich würde gerne ein RAID einbinden. Es ist ein Hardware ...

Batch & Shell

"Konto unbekannt" auf AD-Clients per Powershell löschen

gelöst Frage von rudeboyBatch & Shell6 Kommentare

Hallo zusammen, bei der letzten Clientrechner-Wartung hatte ich diverse, veraltete bzw. unbekannte Profile. Da kam mir die Idee regelmäßig ...

Debian

Lotos Notes auf Debian hängt in letzter Zeit extrem Ursache unbekannt

Frage von M.MarzDebian1 Kommentar

Hallo zusammen, für ein paar User wurde in der Vergangenheit Lotos Notes Server unter Debian installiert. Seit ca. 1 ...

Netzwerkmanagement

RESOLVE: Cannot resolve host address: vgw102081.bit-it.com: Der angegebene Host ist unbekannt

gelöst Frage von M.MarzNetzwerkmanagement21 Kommentare

Hallo zusammen, wir möchten gerne vom Betrieb eine VPN Verbindung zu diesem Server herstellen. Allerdings kommt dann immer die ...

Heiß diskutierte Inhalte
Sicherheitsgrundlagen
Regelmäßige Änderungen der Passwörter erhöhen wirklich die Sicherheit?
Frage von AbstrackterSystemimperatorSicherheitsgrundlagen23 Kommentare

Guten Abend zusammen, genau die Frage stelle ich mir. Erhöht es tatsächlich den Sicherheitsfaktor, wenn die Passwörter regelmäßig geändert ...

Sonstige Systeme
Home Office Ortung IP via VPN und Citrix
Frage von ColdstormSonstige Systeme14 Kommentare

Hallo zusammen, ich habe eine allgemeine Frage. Ich arbeite für einen deutschen Automobilclub (fängt mit A an und mit ...

Exchange Server
Exchange News and Announcements - Microsoft Ignite 2020
Ticker von DaniExchange Server10 Kommentare

Today we are announcing that the next versions of Exchange Server, SharePoint Server, Skype for Business Server and Project ...

Microsoft Office
Office 2010 Starter SetupConsumerC2ROLW.exe Datei
Frage von ITAzubi2Microsoft Office10 Kommentare

Moin moin, ich bin frischer IT Azubi und soll auf ein neues Notebook mit Win 10 Office 2010 Starter ...

LAN, WAN, Wireless
EC Geräte kommen nicht durch Firewall
gelöst Frage von newit1LAN, WAN, Wireless10 Kommentare

Hallo, habe eine Sophos Firewall im Einsatz. Dort wurde eine Regel erstellt, dass die EC Geräte auf bestimmten Ports ...

Windows Server
Server 2019 Remote Desktop Session Host zeigt Windows Server 2016 an
Frage von StickhausenerWindows Server7 Kommentare

Hallo Zusammen, ich habe das Problem das bei einem frisch installierten Server 2019 Terminalserver Probleme bei der Lizensierung auftauchen. ...

Administrator Magazin
10 | 2020 Nicht erst durch die Corona-Krise sahen sich viele Firmen damit konfrontiert, dass sich Mitarbeiter von unterschiedlichen Geräten und verschiedensten Lokationen aus anmelden. Daher sind hier neue Konzepte für das Berechtigungs- und Identitätsmanagement gefragt, die einerseits die Sicherheit erhöhen und andererseits Nutzern die nötige Flexibilität ...
Best VPN