Unaufgelöste SIDs in lokalen Richtlinien

[antares 10]

Hallo:)

 

Auf einem DC versuche ich mit 'gpedit.msc' die lokalen Richtlinien, insbesondere Einträge unter "Zuweisen von Benutzerrechten" etwas aufzuräumen.

 

Dort finde ich manchmal unaufgelöste SIDs, ein Beispiel:

"Annehmen der Clientdatei nach Authentifizierung" (Dieser Wert hat das binäre Symbol und ist also nicht von der DDCP geerbt worden) Nach einem Doppelklick sehe ich folgende Einträge:

-----------------------------

*S-1-5-21-128.....-1005"

*S-1-5-21-128.....-1006"

Administrators

DIENST

IIS_WPG

-----------------------------

 

Die beiden SIDs oben kann ich auch mit sid2user.exe nicht auflösen. Heutige aktive Domänenbenutzer haben SIDs, welche mit "S-1-5-21-163..." beginnen.

 

 

Leider verstehe den Aufbau der SIDs zuwenig, und weiss auch nicht genug über deren Auflösung in den Richtlinien. Jedenfalls zeigt

"FIND /I "nicht gefunden" %SYSTEMROOT%\Security\Logs\winlogon.log"

keine Resultate an.

 

Kann ich solche nicht aufgelöste SIDs als Waisen betrachten, die von gelöschten Usern stammen und sie gefahrlos löschen?

[vmorbit 10]

also wenn ich im system so eine verwaiste SID sehe, und sie auch sonst nicht finde, lösch ich sie immer gleich weg...

 

das sind zu 99% leichen eines gelöschten objekts.

[Daim 12]

Servus,

 

Kann ich solche nicht aufgelöste SIDs als Waisen betrachten, die von gelöschten Usern stammen und sie gefahrlos löschen?

 

ja, in den meisten Fällen ist das der Fall.

Es tauchen noch die SIDs von längst nicht mehr existierenden Benutzern auf.

 

Das kann aber auch bei dem bekannten Problem im Fall von: Wenn der Infrastrukturmaster und der GC auf einem DC liegt. Wenn in diesem Szenario dann nicht ALLE DCs der gleichen Domäne ebenfalls GCs sind, kann dieses Verhalten ebenfalls auftauchen.

[antares 10]

ok, vielen Dank für die Antworten.