denseman
Goto Top

Unbekannter Gruppen und Benutzername

Guten Tag,

seit längerem vermute ich, dass mein ehemaliger Firmenlaptop "nicht ganz sauber ist".

Gestern bemerkte ich einen mir unbekannten Benutzernamen (Ordner > Eigenschaften > Sicherheit), welcher für ca. 2 Sekunden sichtbar war - konnte das aber nicht reproduzieren.

Heute morgen bemerkte ich, dass was im Hintergrund "rödelt". Öffnete sofort Ordner > Eigenschaften > Sicherheit und PRINT.

unbenannt

Nach 2 Sekunden verschwand "er".

Was ist geschehen? Was sollte ich tun?

Vielen Dank für eure Mühe.

Content-Key: 493313

Url: https://administrator.de/contentid/493313

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: emeriks
emeriks 10.09.2019 aktualisiert um 10:32:58 Uhr
Goto Top
Hi,
der verschwindet garantiert nicht, sondern wird durch einen Klarnamen ersetzt. Dieses Verhalten ist vollkommen normal.
In ACL's stehen nur SID. Wenn eine ACL angezeigt werden soll, dann werden diese SID asynchron in Namen aufgelöst. Dabei kann es vorkommen, dass das bei einigen SID etwas länger dauert, z.B. wenn diese aus vertrauten Domänen kommen, oder aus Domänen, wo der Kontakt zum DC etwas länger dauert, z.B. weil der DC "hinter" einem WAN steht oder gerade arg beschäftigt ist oder das Netzwerk lahm ist.

E.
Mitglied: tomolpi
tomolpi 10.09.2019 um 10:30:34 Uhr
Goto Top
Hallo Denis,

schnell nach der SID gegoogelt: https://support.microsoft.com/de-de/help/243330/well-known-security-iden ...
Da siehst du, was das ist und wozu es gehört.

Hast du den Laptop, als du ihn von deiner Firma bekommen hast, platt gemacht? Oder ist der noch komplett im Firmennetz drin?

LG
tomolpi
Mitglied: denseman
denseman 10.09.2019 um 10:58:08 Uhr
Goto Top
schnell nach der SID gegoogelt: https://support.microsoft.com/de-de/help/243330/well-known-security-iden ...
Da siehst du, was das ist und wozu es gehört.

SID: S-1-5-21 Domäne-500
Name: Administrator
Beschreibung: Benutzerkonto für den Systemadministrator. Es handelt sich um das einzige Benutzerkonto, das standardmäßig uneingeschränkten Zugriff auf das System hat.


Hast du den Laptop, als du ihn von deiner Firma bekommen hast, platt gemacht?
Nein.

Oder ist der noch komplett im Firmennetz drin?
Nicht das ich wüsste. *Kopf gegen die Wandschlag*

Aktuell:

wmic
Mitglied: Hubert.N
Hubert.N 10.09.2019 um 11:01:48 Uhr
Goto Top
Moin face-smile

Das ist relativ einfach. Es handelt sich um die SID eines normalen Domänenaccounts.

Aber wenn es dein ehemaliger Firmnenlaptop ist, den Du jetzt privat nutzt, ist es doch ohnehin klar, dass man den erst mal platt macht und neu aufsetzt.

GRuß
Mitglied: Hubert.N
Hubert.N 10.09.2019 um 11:07:07 Uhr
Goto Top
Zitat von @denseman:
SID: S-1-5-21 Domäne-500
Name: Administrator
Beschreibung: Benutzerkonto für den Systemadministrator. Es handelt sich um das einzige Benutzerkonto, das standardmäßig uneingeschränkten Zugriff auf das System hat

... knapp daneben ist auch vorbei face-smile Die beschriebene SID hat hinten eine 1001 stehen... Und damit ist es erst einmal nicht das eingebaute Adminkonto.
Mitglied: denseman
denseman 10.09.2019 um 12:39:07 Uhr
Goto Top
Wie kann ich die Quelle bestimmen? Es rödelt schon wieder.

unbenannt-neu
Mitglied: emeriks
Lösung emeriks 10.09.2019 um 13:04:02 Uhr
Goto Top
Zitat von @denseman:
Wie kann ich die Quelle bestimmen? Es rödelt schon wieder.
Ich kann mir nicht vorstellen, dass dieser Eintrag einfach so verschwindet. Warte ab und lass ihn machen. Wenn er die SID mit einem Namen ersetzt hat, dann weißt Du, wer das ist. Wenn er diese SID nicht ersetzt, dann gehört sie zu einer Domäne, zu welcher der PC keinen Kontakt mehr hat. Dann wäre der Eintrag auch irrelevant und Du kannst ihn einfach entfernen und fertig aus.
Mitglied: denseman
denseman 10.09.2019 um 13:12:16 Uhr
Goto Top
Wenn er die SID mit einem Namen ersetzt hat, dann weißt Du, wer das ist.

Wie?
Mitglied: emeriks
emeriks 10.09.2019 um 13:18:31 Uhr
Goto Top
Die Anzeige dann lesen? Oder vorlesen lassen?
Mitglied: aqui
Lösung aqui 10.09.2019 um 13:22:50 Uhr
Goto Top
Und wenn man mal sehen möchte was so im Hintergrund "rödelt":
https://www.heise.de/select/ct/2019/16/1564407044105754
Mitglied: Hubert.N
Lösung Hubert.N 10.09.2019 um 13:26:52 Uhr
Goto Top
schaue unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList nach. ob Du einen korrespondieren Eintrag findest. Da wird es dann auch den Pfad zum Profilordner geben.

Ich denke aber mal, dass Du Dir da nur etwas zurechtlegst. Wie emeriks schon geschrieben hat: Wird der Eintrag nicht ersetzt, kann man ihn auch entfernen.

Wenn Du Dir Sorge machst, weil das Notebook irgendwelche Dinge tut, die Dir komisch vorkommen, dann wäre es eher der Ansatz nach dem dazugehörigen Prozess zu suchen.

Gruß
Mitglied: emeriks
emeriks 10.09.2019 um 13:32:09 Uhr
Goto Top
Wie war das gleich? Ist hier nicht Werbung für kommerzielle Dienste verboten? face-smile
Mitglied: Bitboy
Bitboy 10.09.2019 um 13:37:59 Uhr
Goto Top
Hi,

wie wärs mit einfach die IT der Firma fragen?
Wenns den User noch im AD gibt, dann lässt er sich mit der SID finden.

Wäre aber schon grenzwertig einen Firmenlaptop ohne Datenlöschung in privaten Besitz übergehen zu lassen...

Grüße
Mitglied: denseman
denseman 10.09.2019 um 13:47:43 Uhr
Goto Top
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

registry

Sehe keine ProfilList.
Mitglied: denseman
denseman 10.09.2019 aktualisiert um 13:52:08 Uhr
Goto Top
IT = Geschäftsführer

Wäre aber schon grenzwertig einen Firmenlaptop ohne Datenlöschung in privaten Besitz übergehen zu lassen...

War dann wohl so gewollt. (bin Gesellschafter)

Wenns den User noch im AD gibt, dann lässt er sich mit der SID finden.

Was ist AD?
Mitglied: denseman
denseman 10.09.2019 um 13:50:58 Uhr
Goto Top
@emeriks: Sysinternals Process Explorer ist kein kommerzieller Dienst.
Mitglied: Hubert.N
Hubert.N 10.09.2019 um 13:55:37 Uhr
Goto Top
Sehe keine ProfilList.

Doch... Wenn Du auf das "+" klickst...
Mitglied: emeriks
emeriks 10.09.2019 um 13:57:35 Uhr
Goto Top
Zitat von @denseman:
@emeriks: Sysinternals Process Explorer ist kein kommerzieller Dienst.
Nein, aber die Heise-Seite ... face-wink
Mitglied: denseman
denseman 10.09.2019 aktualisiert um 14:03:08 Uhr
Goto Top
profile

Und jetzt?
Mitglied: emeriks
emeriks 10.09.2019 um 14:02:42 Uhr
Goto Top
Das ist aber die 1000 und nicht die 1001.
Mitglied: denseman
denseman 10.09.2019 um 14:44:55 Uhr
Goto Top
Und nun?
Mitglied: emeriks
emeriks 10.09.2019 um 14:49:30 Uhr
Goto Top
Nun was? Wir haben doch schon alles geschrieben. Soll jetzt jemand von uns vorbeikommen und das für Dich machen?
Mitglied: denseman
denseman 10.09.2019 um 14:53:23 Uhr
Goto Top
Das wär lieb. ;)

Ich sehe jetzt als Laie keinen direkten Zusammenhang zwischen der SID und dem dazugehörigen relevanten Prozess.

Darüberhinaus ist 1000 ungleich 1001.
Mitglied: emeriks
emeriks 10.09.2019 um 15:03:12 Uhr
Goto Top
Was sollen wir noch schreiben?
Wenn der PC ein ehemaliger Firmen-PC ist, dann ist er wahrscheinlich auch ein ehemaliges Domänen-Mitglied.
Und wenn da jetzt noch in diversen ACL diverse ACE drin stehen, wo er die SID der ehemaligen Domäne nicht mehr Namen auflösen kann, dann können diese ACE auch aus der ACL gelöscht werden. Denn wenn der Computer jetzt kein Mitglied dieser Domäne mehr ist, dann wird er auch nicht mehr diesem Konto vertrauen und die ACE ist unwirksam. Also kann sie gelöscht werden.

Du kannst aber auch noch mal fragen: "Was nun?"
Dann kann ich meinen Text nochmal kopieren und nochmal damit antworten.
Mitglied: denseman
denseman 10.09.2019 um 15:14:22 Uhr
Goto Top
Denn wenn der Computer jetzt kein Mitglied dieser Domäne mehr ist,

-> Wäre er kein Mitglied mehr, würde es doch nicht so erbitterlich rödeln.
Mitglied: emeriks
emeriks 10.09.2019 um 15:23:09 Uhr
Goto Top
Zitat von @denseman:
-> Wäre er kein Mitglied mehr, würde es doch nicht so erbitterlich rödeln.
Soll er es denn noch sein?
Ist er es denn noch? Das kann man kontrollieren. Computer - Eigenschaften - Computername
Und wenn Frage 2 ja und Frage 1 nein, dann lass den Computer aus der Domäne austreten. Oder besser - lass es von jemanden machen.
Mitglied: denseman
denseman 10.09.2019 um 15:46:14 Uhr
Goto Top
unbenannt-workgroup

benutzerprofile

systemwiederherstellung

domäne

remote
Mitglied: Bitboy
Bitboy 10.09.2019 um 16:23:46 Uhr
Goto Top
Du könntest in der Powershell mal folgendes eingeben:
Get-WmiObject win32_useraccount | select name,sid
Mitglied: denseman
denseman 10.09.2019 um 17:07:06 Uhr
Goto Top
Meinst du so:

powershel1l

(Gast habe ich in der Zwischenzeit selber angelegt)
Mitglied: Penny.Cilin
Penny.Cilin 10.09.2019 um 17:57:40 Uhr
Goto Top
Zitat von @denseman:

IT = Geschäftsführer
Häh? Wieso ist IT gleich Geschäftsführer???

Wäre aber schon grenzwertig einen Firmenlaptop ohne Datenlöschung in privaten Besitz übergehen zu lassen...

War dann wohl so gewollt. (bin Gesellschafter)

Wenns den User noch im AD gibt, dann lässt er sich mit der SID finden.

Was ist AD?
Upps, das weißt Du nicht???
AD := Active Directory
Ein Verzeichnisdienst von Microsoft

Gruss Penny.
Mitglied: emeriks
emeriks 10.09.2019 um 18:09:00 Uhr
Goto Top
Also laut Screenshot kein Domänen-Mitglied.
Und wieder also lösche diesen dämlichen Eintrag aus den ACL und fertig aus.
Oder Alu-Hut. Soll auch helfen.
Mitglied: tomolpi
tomolpi 10.09.2019 um 19:08:08 Uhr
Goto Top
Zitat von @emeriks:

Also laut Screenshot kein Domänen-Mitglied.
Und wieder also lösche diesen dämlichen Eintrag aus den ACL und fertig aus.
Oder Alu-Hut. Soll auch helfen.
Alles platt machen, Windows 7 ist ja eh bald EOL 😉
Mitglied: Andrew01
Andrew01 10.09.2019 um 20:35:54 Uhr
Goto Top
Nabend


du weisst nicht was ein AD ist?
Und statt Iim Taskmanager zu schauen was da rödelt öffnet man die Sicherheits Eigenschaften eines Ordners?

Mm Aluhut! (Das sind die Admins die sind alle krank!! Die laden da Sachen über deinen Laptop runter weil ihr Internet Anschluss zu langsam ist. Ja sowas machen die! Verrückte Admins pffffft!!

Ah der Download auf dem User Laptop ist fertig... Ich habe zu tun.. geheime Admin Sachen!!! face-smile

Gruss Andreas
Mitglied: denseman
denseman 10.09.2019 um 20:52:24 Uhr
Goto Top
Darauf habe ich gewartet. Danke!
Mitglied: Andrew01
Andrew01 10.09.2019 um 22:03:13 Uhr
Goto Top
Ja ich auf die Frage auch wie du siehst.
Du hast ein Win7 welche Version? Pro, Home etc.
Product Key auslesen. Win10 runterladen auf USB Stick gleiche Version. Neu installieren und erledigt. Der Rest ist Unfug daher auch die wenig zielführende Antwort face-smile

Gruss Andreas
Mitglied: denseman
denseman 10.09.2019 um 22:20:38 Uhr
Goto Top
Mich interessiert die Ursache - nicht die Symptombeseitigung.
Mitglied: Andrew01
Andrew01 10.09.2019 um 23:14:27 Uhr
Goto Top
Ja ja ist ok. Also der technische Hintergrund? Kam so gar nicht rüber in deiner Frage.

Aber zu nicht aufgelösten SID wurde ja schon genug geschrieben.