Todos las cuentas de usuario en Windows disponen de un identificador denominado SID. Es posible, que tras analizar eventos de auditoría, nos encontremos con el SID en vez del nombre del usuario. A tal efecto, expongo varias formas sencillas para obtener el usuario a partir de su SID. Si queremos obtener el SID de un usuario local, ejecutaremos el siguiente comando:
wmic useraccount where name=’USUARIO’ get sid
Nota: Sustituir la palabra usuario por el usuario a buscar.
Por el contrario, si queremos obtener el nombre de usuario a partir de su SID ejecutaremos el siguiente comando:
wmic useraccount where sid=’SID’ get name
Nota: Sustituir la palabra SID por el SID del usuario a buscar.
Finalmente, para hacer cualquier consulta para un usuario del dominio, se añadirá el campo domain tal como se puede apreciar en el siguiente comando:
wmic useraccount where (sid=’SID’ and domain=’Dominio’) get name
Nota: Sustituir la palabra SID por el SID y Dominio por el dominio del usuario a buscar.
Para comentar debe estar registrado.