从WMI名称空间root\rsop\user\<user_SID>我可以使用WQL SecurityGroups获取Select SecurityGroups from RSOP_Session的数组。我最终得到了类似于以下内容的SID列表:
S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-604776629-999
S-1-1-0
S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-682003330-9999
S-1-5-32-545
S-1-5-32-544
S-1-5-4
S-1-5-11
S-1-2-0
S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-604776629-888
S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-604776629-77777
S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-604776629-66666
S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-604776629-55555
S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-604776629-44444
我的问题:如何检索这些SID的标题(名称)?他们中的一些属于域名,但其他一些属于我不知道是谁/什么/哪里......(问题当然是后者)
答案 0 :(得分:2)
使用YARU(又一个注册表工具)处理SAM和SYSTEM配置单元并从报告菜单生成密码哈希报告,使用导出的配置单元的“提取的配置单元”选项和您的系统的“实时系统”选项正在使用。
可以在以下网址找到YARU:
https://www.tzworks.net/download_links.php
YARU位于注册表和事件日志分析下的列表中间。