37
Unbekannter Gruppen und Benutzername
Guten Tag,
seit längerem vermute ich, dass mein ehemaliger Firmenlaptop "nicht ganz sauber ist".
Gestern bemerkte ich einen mir unbekannten Benutzernamen (Ordner > Eigenschaften > Sicherheit), welcher für ca. 2 Sekunden sichtbar war - konnte das aber nicht reproduzieren.
Heute morgen bemerkte ich, dass was im Hintergrund "rödelt". Öffnete sofort Ordner > Eigenschaften > Sicherheit und PRINT.
Nach 2 Sekunden verschwand "er".
Was ist geschehen? Was sollte ich tun?
Vielen Dank für eure Mühe.
seit längerem vermute ich, dass mein ehemaliger Firmenlaptop "nicht ganz sauber ist".
Gestern bemerkte ich einen mir unbekannten Benutzernamen (Ordner > Eigenschaften > Sicherheit), welcher für ca. 2 Sekunden sichtbar war - konnte das aber nicht reproduzieren.
Heute morgen bemerkte ich, dass was im Hintergrund "rödelt". Öffnete sofort Ordner > Eigenschaften > Sicherheit und PRINT.
Nach 2 Sekunden verschwand "er".
Was ist geschehen? Was sollte ich tun?
Vielen Dank für eure Mühe.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 493313
Url: https://administrator.de/forum/unbekannter-gruppen-und-benutzername-493313.html
Ausgedruckt am: 11.04.2025 um 19:04 Uhr
37 Kommentare
Neuester Kommentar
Hi,
der verschwindet garantiert nicht, sondern wird durch einen Klarnamen ersetzt. Dieses Verhalten ist vollkommen normal.
In ACL's stehen nur SID. Wenn eine ACL angezeigt werden soll, dann werden diese SID asynchron in Namen aufgelöst. Dabei kann es vorkommen, dass das bei einigen SID etwas länger dauert, z.B. wenn diese aus vertrauten Domänen kommen, oder aus Domänen, wo der Kontakt zum DC etwas länger dauert, z.B. weil der DC "hinter" einem WAN steht oder gerade arg beschäftigt ist oder das Netzwerk lahm ist.
E.
der verschwindet garantiert nicht, sondern wird durch einen Klarnamen ersetzt. Dieses Verhalten ist vollkommen normal.
In ACL's stehen nur SID. Wenn eine ACL angezeigt werden soll, dann werden diese SID asynchron in Namen aufgelöst. Dabei kann es vorkommen, dass das bei einigen SID etwas länger dauert, z.B. wenn diese aus vertrauten Domänen kommen, oder aus Domänen, wo der Kontakt zum DC etwas länger dauert, z.B. weil der DC "hinter" einem WAN steht oder gerade arg beschäftigt ist oder das Netzwerk lahm ist.
E.
1
Hallo Denis,
schnell nach der SID gegoogelt: https://support.microsoft.com/de-de/help/243330/well-known-security-iden ...
Da siehst du, was das ist und wozu es gehört.
Hast du den Laptop, als du ihn von deiner Firma bekommen hast, platt gemacht? Oder ist der noch komplett im Firmennetz drin?
LG
tomolpi
schnell nach der SID gegoogelt: https://support.microsoft.com/de-de/help/243330/well-known-security-iden ...
Da siehst du, was das ist und wozu es gehört.
Hast du den Laptop, als du ihn von deiner Firma bekommen hast, platt gemacht? Oder ist der noch komplett im Firmennetz drin?
LG
tomolpi
1
schnell nach der SID gegoogelt: https://support.microsoft.com/de-de/help/243330/well-known-security-iden ...
Da siehst du, was das ist und wozu es gehört.
Da siehst du, was das ist und wozu es gehört.
SID: S-1-5-21 Domäne-500
Name: Administrator
Beschreibung: Benutzerkonto für den Systemadministrator. Es handelt sich um das einzige Benutzerkonto, das standardmäßig uneingeschränkten Zugriff auf das System hat.
Hast du den Laptop, als du ihn von deiner Firma bekommen hast, platt gemacht?
Nein.Oder ist der noch komplett im Firmennetz drin?
Nicht das ich wüsste. *Kopf gegen die Wandschlag*Aktuell:
Moin 
Das ist relativ einfach. Es handelt sich um die SID eines normalen Domänenaccounts.
Aber wenn es dein ehemaliger Firmnenlaptop ist, den Du jetzt privat nutzt, ist es doch ohnehin klar, dass man den erst mal platt macht und neu aufsetzt.
GRuß
Das ist relativ einfach. Es handelt sich um die SID eines normalen Domänenaccounts.
Aber wenn es dein ehemaliger Firmnenlaptop ist, den Du jetzt privat nutzt, ist es doch ohnehin klar, dass man den erst mal platt macht und neu aufsetzt.
GRuß
Zitat von @denseman:
SID: S-1-5-21 Domäne-500
Name: Administrator
Beschreibung: Benutzerkonto für den Systemadministrator. Es handelt sich um das einzige Benutzerkonto, das standardmäßig uneingeschränkten Zugriff auf das System hat
SID: S-1-5-21 Domäne-500
Name: Administrator
Beschreibung: Benutzerkonto für den Systemadministrator. Es handelt sich um das einzige Benutzerkonto, das standardmäßig uneingeschränkten Zugriff auf das System hat
... knapp daneben ist auch vorbei
Die beschriebene SID hat hinten eine 1001 stehen... Und damit ist es erst einmal nicht das eingebaute Adminkonto.1
Wie kann ich die Quelle bestimmen? Es rödelt schon wieder.
Ich kann mir nicht vorstellen, dass dieser Eintrag einfach so verschwindet. Warte ab und lass ihn machen. Wenn er die SID mit einem Namen ersetzt hat, dann weißt Du, wer das ist. Wenn er diese SID nicht ersetzt, dann gehört sie zu einer Domäne, zu welcher der PC keinen Kontakt mehr hat. Dann wäre der Eintrag auch irrelevant und Du kannst ihn einfach entfernen und fertig aus.
1Wenn er die SID mit einem Namen ersetzt hat, dann weißt Du, wer das ist.
Wie?
Die Anzeige dann lesen? Oder vorlesen lassen?
Und wenn man mal sehen möchte was so im Hintergrund "rödelt":
https://www.heise.de/select/ct/2019/16/1564407044105754
https://www.heise.de/select/ct/2019/16/1564407044105754
1
schaue unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList nach. ob Du einen korrespondieren Eintrag findest. Da wird es dann auch den Pfad zum Profilordner geben.
Ich denke aber mal, dass Du Dir da nur etwas zurechtlegst. Wie emeriks schon geschrieben hat: Wird der Eintrag nicht ersetzt, kann man ihn auch entfernen.
Wenn Du Dir Sorge machst, weil das Notebook irgendwelche Dinge tut, die Dir komisch vorkommen, dann wäre es eher der Ansatz nach dem dazugehörigen Prozess zu suchen.
Gruß
Ich denke aber mal, dass Du Dir da nur etwas zurechtlegst. Wie emeriks schon geschrieben hat: Wird der Eintrag nicht ersetzt, kann man ihn auch entfernen.
Wenn Du Dir Sorge machst, weil das Notebook irgendwelche Dinge tut, die Dir komisch vorkommen, dann wäre es eher der Ansatz nach dem dazugehörigen Prozess zu suchen.
Gruß
Wie war das gleich? Ist hier nicht Werbung für kommerzielle Dienste verboten?
Hi,
wie wärs mit einfach die IT der Firma fragen?
Wenns den User noch im AD gibt, dann lässt er sich mit der SID finden.
Wäre aber schon grenzwertig einen Firmenlaptop ohne Datenlöschung in privaten Besitz übergehen zu lassen...
Grüße
wie wärs mit einfach die IT der Firma fragen?
Wenns den User noch im AD gibt, dann lässt er sich mit der SID finden.
Wäre aber schon grenzwertig einen Firmenlaptop ohne Datenlöschung in privaten Besitz übergehen zu lassen...
Grüße
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Sehe keine ProfilList.
IT = Geschäftsführer
War dann wohl so gewollt. (bin Gesellschafter)
Was ist AD?
Wäre aber schon grenzwertig einen Firmenlaptop ohne Datenlöschung in privaten Besitz übergehen zu lassen...
War dann wohl so gewollt. (bin Gesellschafter)
Wenns den User noch im AD gibt, dann lässt er sich mit der SID finden.
Was ist AD?
@emeriks: Sysinternals Process Explorer ist kein kommerzieller Dienst.
Sehe keine ProfilList.
Doch... Wenn Du auf das "+" klickst...
1
Und jetzt?
Das ist aber die 1000 und nicht die 1001.
1
Und nun?
Nun was? Wir haben doch schon alles geschrieben. Soll jetzt jemand von uns vorbeikommen und das für Dich machen?
Das wär lieb. ;)
Ich sehe jetzt als Laie keinen direkten Zusammenhang zwischen der SID und dem dazugehörigen relevanten Prozess.
Darüberhinaus ist 1000 ungleich 1001.
Ich sehe jetzt als Laie keinen direkten Zusammenhang zwischen der SID und dem dazugehörigen relevanten Prozess.
Darüberhinaus ist 1000 ungleich 1001.
Was sollen wir noch schreiben?
Wenn der PC ein ehemaliger Firmen-PC ist, dann ist er wahrscheinlich auch ein ehemaliges Domänen-Mitglied.
Und wenn da jetzt noch in diversen ACL diverse ACE drin stehen, wo er die SID der ehemaligen Domäne nicht mehr Namen auflösen kann, dann können diese ACE auch aus der ACL gelöscht werden. Denn wenn der Computer jetzt kein Mitglied dieser Domäne mehr ist, dann wird er auch nicht mehr diesem Konto vertrauen und die ACE ist unwirksam. Also kann sie gelöscht werden.
Du kannst aber auch noch mal fragen: "Was nun?"
Dann kann ich meinen Text nochmal kopieren und nochmal damit antworten.
Wenn der PC ein ehemaliger Firmen-PC ist, dann ist er wahrscheinlich auch ein ehemaliges Domänen-Mitglied.
Und wenn da jetzt noch in diversen ACL diverse ACE drin stehen, wo er die SID der ehemaligen Domäne nicht mehr Namen auflösen kann, dann können diese ACE auch aus der ACL gelöscht werden. Denn wenn der Computer jetzt kein Mitglied dieser Domäne mehr ist, dann wird er auch nicht mehr diesem Konto vertrauen und die ACE ist unwirksam. Also kann sie gelöscht werden.
Du kannst aber auch noch mal fragen: "Was nun?"
Dann kann ich meinen Text nochmal kopieren und nochmal damit antworten.
Denn wenn der Computer jetzt kein Mitglied dieser Domäne mehr ist,
-> Wäre er kein Mitglied mehr, würde es doch nicht so erbitterlich rödeln.
Soll er es denn noch sein?
Ist er es denn noch? Das kann man kontrollieren. Computer - Eigenschaften - Computername
Und wenn Frage 2 ja und Frage 1 nein, dann lass den Computer aus der Domäne austreten. Oder besser - lass es von jemanden machen.
Ist er es denn noch? Das kann man kontrollieren. Computer - Eigenschaften - Computername
Und wenn Frage 2 ja und Frage 1 nein, dann lass den Computer aus der Domäne austreten. Oder besser - lass es von jemanden machen.
Du könntest in der Powershell mal folgendes eingeben:
Get-WmiObject win32_useraccount | select name,sid
Get-WmiObject win32_useraccount | select name,sid
1
Meinst du so:
(Gast habe ich in der Zwischenzeit selber angelegt)
(Gast habe ich in der Zwischenzeit selber angelegt)
Häh? Wieso ist IT gleich Geschäftsführer???
War dann wohl so gewollt. (bin Gesellschafter)
Was ist AD?
Upps, das weißt Du nicht???
AD := Active Directory
Ein Verzeichnisdienst von Microsoft
Gruss Penny.
Wäre aber schon grenzwertig einen Firmenlaptop ohne Datenlöschung in privaten Besitz übergehen zu lassen...
War dann wohl so gewollt. (bin Gesellschafter)
Wenns den User noch im AD gibt, dann lässt er sich mit der SID finden.
Was ist AD?
AD := Active Directory
Ein Verzeichnisdienst von Microsoft
Gruss Penny.
1
Also laut Screenshot kein Domänen-Mitglied.
Und wieder also lösche diesen dämlichen Eintrag aus den ACL und fertig aus.
Oder Alu-Hut. Soll auch helfen.
Und wieder also lösche diesen dämlichen Eintrag aus den ACL und fertig aus.
Oder Alu-Hut. Soll auch helfen.
Zitat von @emeriks:
Also laut Screenshot kein Domänen-Mitglied.
Und wieder also lösche diesen dämlichen Eintrag aus den ACL und fertig aus.
Oder Alu-Hut. Soll auch helfen.
Alles platt machen, Windows 7 ist ja eh bald EOL 😉Also laut Screenshot kein Domänen-Mitglied.
Und wieder also lösche diesen dämlichen Eintrag aus den ACL und fertig aus.
Oder Alu-Hut. Soll auch helfen.
Nabend
du weisst nicht was ein AD ist?
Und statt Iim Taskmanager zu schauen was da rödelt öffnet man die Sicherheits Eigenschaften eines Ordners?
Mm Aluhut! (Das sind die Admins die sind alle krank!! Die laden da Sachen über deinen Laptop runter weil ihr Internet Anschluss zu langsam ist. Ja sowas machen die! Verrückte Admins pffffft!!
Ah der Download auf dem User Laptop ist fertig... Ich habe zu tun.. geheime Admin Sachen!!!
Gruss Andreas
du weisst nicht was ein AD ist?
Und statt Iim Taskmanager zu schauen was da rödelt öffnet man die Sicherheits Eigenschaften eines Ordners?
Mm Aluhut! (Das sind die Admins die sind alle krank!! Die laden da Sachen über deinen Laptop runter weil ihr Internet Anschluss zu langsam ist. Ja sowas machen die! Verrückte Admins pffffft!!
Ah der Download auf dem User Laptop ist fertig... Ich habe zu tun.. geheime Admin Sachen!!!
Gruss Andreas
1
Darauf habe ich gewartet. Danke!
Ja ich auf die Frage auch wie du siehst.
Du hast ein Win7 welche Version? Pro, Home etc.
Product Key auslesen. Win10 runterladen auf USB Stick gleiche Version. Neu installieren und erledigt. Der Rest ist Unfug daher auch die wenig zielführende Antwort
Gruss Andreas
Du hast ein Win7 welche Version? Pro, Home etc.
Product Key auslesen. Win10 runterladen auf USB Stick gleiche Version. Neu installieren und erledigt. Der Rest ist Unfug daher auch die wenig zielführende Antwort
Gruss Andreas
Mich interessiert die Ursache - nicht die Symptombeseitigung.
Ja ja ist ok. Also der technische Hintergrund? Kam so gar nicht rüber in deiner Frage.
Aber zu nicht aufgelösten SID wurde ja schon genug geschrieben.
Aber zu nicht aufgelösten SID wurde ja schon genug geschrieben.
