0

WMI 名前空間から、 WQL を使用してroot\rsop\user\<user_SID>の配列を取得できます。最終的に、次のような SID のリストが表示されます。SecurityGroupsSelect SecurityGroups from RSOP_Session

S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-604776629-999
S-1-1-0
S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-682003330-9999
S-1-5-32-545
S-1-5-32-544
S-1-5-4
S-1-5-11
S-1-2-0
S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-604776629-888
S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-604776629-77777
S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-604776629-66666
S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-604776629-55555
S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-604776629-44444

私の質問: これらの SID のキャプション (名前) を取得するにはどうすればよいですか? それらのいくつかはドメインに属していますが、他のいくつかはドメインに属しています。

4

1 に答える 1

2

SAM および SYSTEM ハイブを YARU (Yet Another Registry Utility) で処理し、[レポート] メニューから、エクスポートされたハイブの [抽出されたハイブ] オプションと使用しているシステムの [ライブ システム] オプションを使用して、パスワード ハッシュ レポートを生成します。

YARU は次の場所からダウンロードできます。

https://www.tzworks.net/download_links.php

YARU は、レジストリとイベント ログ分析の下のリストの中央にあります。

于 2012-10-23T03:09:27.137 に答える