3
Bezeichnung eines Objektes einer AD aus einer SID auslesen
Unser Virenserver, Symantec Endpoint Protection, zeigt bei einem Scan den Ort von gefundenen infizierten Dateien nur so an:
Volume{9712d98a-31a3-11de-a1e3-505054503030}/Privat/RECYCLER/S-5-3-42-2819952290-8240758988-879315005-3665/jwgkvsq.vmx
Welche Möglichkeiten habe ich nun herauszufinden, welchem Nutzer der Privat-Ordner gehört?
Mit dem Tool psgetsid funktioniert es nicht. Damit kann ich ich mir zwar die SIDs meiner Nutzer ansehen, doch stimmen die Werte nicht überein.
Volume{9712d98a-31a3-11de-a1e3-505054503030}/Privat/RECYCLER/S-5-3-42-2819952290-8240758988-879315005-3665/jwgkvsq.vmx
Welche Möglichkeiten habe ich nun herauszufinden, welchem Nutzer der Privat-Ordner gehört?
Mit dem Tool psgetsid funktioniert es nicht. Damit kann ich ich mir zwar die SIDs meiner Nutzer ansehen, doch stimmen die Werte nicht überein.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 116431
Url: https://administrator.de/contentid/116431
Printed on: April 24, 2024 at 22:04 o'clock
3 Comments
Latest comment
das objekt befindet sich im papierkorb des users. das muss auch nicht unbedingt ein infiziertes objekt sein. wir hatten das problem auch, und seid wir den symantec quarantäne server im einsatz haben, werden alle verdaechtigen objekte auf den server uebertragen.
schau dir mal das tool SidToName an, vielleicht kann man damit was anfangen
-> http://www.joeware.net/freetools/tools/sidtoname/index.htm
gruss
andré
schau dir mal das tool SidToName an, vielleicht kann man damit was anfangen
-> http://www.joeware.net/freetools/tools/sidtoname/index.htm
gruss
andré
Wenn ich es mit dem Tool versuche bekomme ich folgende Fehlermeldung
ERROR: LookupAccountSid: (1332) Zuordnungen von Kontennamen und Sicherheitskennungen
wurden nicht durchgeführt
Das ist die gleiche Meldung wie mit dem Tool psgetSID
ERROR: LookupAccountSid: (1332) Zuordnungen von Kontennamen und Sicherheitskennungen
wurden nicht durchgeführt
Das ist die gleiche Meldung wie mit dem Tool psgetSID
schau mal bei microsoft -> http://support.microsoft.com/?kbid=324383
die meldung: "zuordnungen von kontennamen und sicherheitskennungen wurden nicht durchgefuehrt" deutet darauf hin, das richtlinien auf benutzerkonten weiter vererbt werden, die nicht mehr vorhanden sind.
gug mal unter %systemroot%\security\logs\ in der winlogon.log und suche nach dem fehler 1332. damit findest du accounts, die nicht aufgeloest werden koennen.
gruss
andré
die meldung: "zuordnungen von kontennamen und sicherheitskennungen wurden nicht durchgefuehrt" deutet darauf hin, das richtlinien auf benutzerkonten weiter vererbt werden, die nicht mehr vorhanden sind.
gug mal unter %systemroot%\security\logs\ in der winlogon.log und suche nach dem fehler 1332. damit findest du accounts, die nicht aufgeloest werden koennen.
gruss
andré
