0

从 WMI 命名空间中,我可以获取一个使用 WQLroot\rsop\user\<user_SID>的数组。我最终得到了一个类似于以下内容的 SID 列表:SecurityGroupsSelect SecurityGroups from RSOP_Session

S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-604776629-999
S-1-1-0
S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-682003330-9999
S-1-5-32-545
S-1-5-32-544
S-1-5-4
S-1-5-11
S-1-2-0
S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-604776629-888
S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-604776629-77777
S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-604776629-66666
S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-604776629-55555
S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-604776629-44444

我的问题:如何检索这些 SID 的标题(名称)?其中一些属于该域,而另一些属于我不确定谁/什么/在哪里......(问题当然是后者)

4

1 回答 1

2

使用 YARU(Yet Another Registry Utility)处理 SAM 和 SYSTEM 配置单元,并从报告菜单生成密码哈希报告,使用导出配置单元的“提取配置单元”选项和您正在使用的系统的“实时系统”选项。

YARU 可以在以下位置找到下载:

https://www.tzworks.net/download_links.php

YARU 位于注册表和事件日志分析下的列表中间。

于 2012-10-23T03:09:27.137 回答