none
SID nascosti che si riferiscono ad utenti amministrativi locali RRS feed

  • Domanda

  • Sto utilizzando uno script VBS (http://impulzlabs.net/docs/vbs-localadmins) per verificare nella rete che gestisco, quali sono i pc che hanno ancora degli end user nel gruppo administrator locale. Per 3 pc della rete ho un risultato strano. In sostanza oltre al nome di un end user che è administrator, ho anche un SID del tipo S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx.

    D'altra parte se controllo lo stato degli utenti con "Accoun Utente" del pannello di controllo, vedo solo gli utenti effettivi niente in merito a quel sid o che possa ricondurre ad un ulteriore utente. Quel sid è come se indicasse un utente che non esiste più ma che dal control panel non è più visibile. Secondo voi si può azzerare questa situazione e far sparire in qualche modo quel sid così che lo script non lo intercetti più?

    Grazie


    venerdì 5 novembre 2010 22:13

Risposte

Tutte le risposte

  • Ciao Bob245,

    Visto la data del thread, possiamo presumere che il tuo caso e' stato risolto?

    Se cosi fosse, ti prego di voler condividere la soluzione sul forum, sarebbe molto utile per gli altri membri della community.

    Certa della tua comprensione, ti ringrazio del tuo aiuto.

    Ciao.


    Anca Popa Follow ForumTechNetIt on Twitter

    FAQ:

    Quando utilizzare un print server

    PowerShell: Salvare/leggere le credenziali da un file

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie Microsoft. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte di Microsoft. 

    mercoledì 8 dicembre 2010 20:27
  • Purtroppo non ho avuto risposta e non sono riuscito a risolvere il caso
    Grazie
    mercoledì 8 dicembre 2010 21:11
  • Ciao Bob,

    Grazie per l'aggiornamento.

    Inanzittutto vediamo a quale nome utente punta questo SID.

    Scarichiamo PSGetSid da qui:

    http://technet.microsoft.com/en-us/sysinternals/bb897417 

    poi vediamo il da fare.

    Ciao.


    Anca Popa Follow ForumTechNetIt on Twitter

    FAQ:

    Quando utilizzare un print server

    PowerShell: Salvare/leggere le credenziali da un file

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie Microsoft. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte di Microsoft. 

    giovedì 9 dicembre 2010 14:25
  • Ho provato con il seguente comando:

    C:\Programmi\Prova>PsGetsid.exe S-1-5-21-3184021381-1799195637-3160463927-2244

    ed ottengo questo risultato:

    PsGetSid v1.44 - Translates SIDs to names and vice versa
    Copyright (C) 1999-2008 Mark Russinovich
    Sysinternals - www.sysinternals.com

    Error querying SID:
    Non Þ stato effettuato alcun mapping tra nomi di account e ID di protezione.

    E' come se quel SID non fosse più associato ad alcun che ma è rimasto nel sistema.
    Sarebbe interessante sapere come poterlo cancellare.

    Ti ricordo che questo SID compare solo interrogando il sistema con uno script vb

    Grazie

    venerdì 10 dicembre 2010 09:20
  • Lo stesso problema lo riscontrai anche io. Era dovuto a problemi di logon del client (i tempi erano troppo lunghi e veniva generato un profilo temporaneo e tra gli account utenti si presentava il problema da te citato). Ho risolto in questo modo: eliminazione dell'account incriminato sul client (da gestione computer,account utenti), verifica del contenuto della cartella documents&settings ed eventualmente ho rimosso tutti i profili temp (da proprietà di sistema, avanzate, profili utente, click su impostazioni, seleziona ed elimina i profili). Pulitura dei temp e del registro e verifica antivirus. Nel mio caso i tempi di logon erano rallentati dalla presenza di elementi malevoli (virus e spywrares). Probabilmente i 3 pc di cui parli, hanno problemi del genere. Verifica e fammi sapere.

    Saluti

    venerdì 10 dicembre 2010 17:10
  • Avevo già fatto le verifiche che indichi, perchè mi sembra evidente che si tratta di SID di utenti che hanno avuto accesso al sistema e poi rimossi. Tutti e 3 i pc hanno in effetti una storia di prove e gestioni "a più mani" e poi lasciati così ma sarebbe bene reinstallarli. Solo che per un paio la reinstallazione sarebbe veramente pesante data la presenza di applicativi di gestione industriale un po' datati e di cui non conosco niente (installazione , documentazione assente...)

    La cosa interessante è che se si va a fare un po' di browsing nei gruppi locali si vedono questi sid (al posto del nome) con l'asterisco davanti ad indicare penso la non corrispondenza con uno user. Adesso proverò di toglierli da quei gruppi ma non so se basta affinchè siano completamente cancellati.

    In sostanza si tratta di capire se esiste un sistema per fare una pulizia completa di SID rimasti in un qualche modo orfani dello user che è stato magari tolto non correttamente...

    Prossima settimana faccio alcune prove su uno di questi pc (un XP Pro) perchè gli altri 2 sono dei win2000 e forse per quelli la pulizia temo sarà più difficile..

    Grazie

    sabato 11 dicembre 2010 08:59
  • Ciao Bob,

    leggo che avete trovato la causa scatenante del tutto, ma volevo aggiungere un paio di informazioni:

     

    la membership dei gruppi e le informazioni di ACL si basano su SID, come sai.
    Purtroppo non è possibile aggiornare tutte le ACL e group membership automagicamente quando un'utente viene cancellato: le operazioni di cancellazione di un utente potrebbero richiedere GIORNI!

    Ugualmente puoi approntare uno script che elimini tali voci in maniera progressiva da tutte le cartelle.

    il comando da reiterare è:

    cscript xcacls.vbs c:\testss /R SID#<S-1-5-21-746137067-1606980248-1801674431-7026 >

     

    dove la parte in grassetto è il SID da rimuovere.

    fammi sapere se ti serve una mano con lo script.

    Ciao!

     

    passi per riprodurre il problema:

    cmd-> (da prompt dei comandi)

    md c:\testss

    net user pincopallo Pa$$word.1 /ADD

    cacls c:\testss /E /G pincopallo:F

    net user pincopallo /delete

     

     

    P.S.: scarica xcacls da qui: http://www.microsoft.com/downloads/en/details.aspx?familyid=0ad33a24-0616-473c-b103-c35bc2820bda&displaylang=en


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    martedì 14 dicembre 2010 14:14
  • Ciao Bob,

    Ti confermo che si tratta di SID di utenti che hanno eseguito l'accesso tramite una connessione di rete: Identificatori di protezione conosciuti nei sistemi operativi Windows (KB).

    Al tuo posto io farei un back up, poi procederei tranquillamente alla cancellazione di questi SID, dai gruppi locali dove sono ancora visibili. 


    Anca Popa Follow ForumTechNetIt on Twitter

    FAQ:

    Quando utilizzare un print server

    PowerShell: Salvare/leggere le credenziali da un file

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie Microsoft. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte di Microsoft. 

    martedì 14 dicembre 2010 14:49
  • Grazie, molto interessante...
    mercoledì 15 dicembre 2010 10:06
  • In effetti cancellando nei vari gruppi locali i SID non più associati con uno user si ottiene la pulizia che volevo.
    Ora anche a seguito di scansione con apposito script quei SID non compaiono più. Direi che abbiamo risolto

    Grazie

    mercoledì 15 dicembre 2010 10:08
  • Ottimo.

    Grazie a te per la conferma.


    Anca Popa Follow ForumTechNetIt on Twitter

    FAQ:

    Quando utilizzare un print server

    PowerShell: Salvare/leggere le credenziali da un file

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie Microsoft. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte di Microsoft. 

    mercoledì 15 dicembre 2010 10:14