Die Prüfung der SID schlägt fehl durch Windows. Du hast eine SID angegeben, welche so aussieht : S-3-IA (wobei IA ein 64bit Integer von IdentifierAuthority ist).

Tatsächlich ist die Revisions-ID 3 nicht gültig. Ich habe dies auch noch nie gesehen. Zudem identifiziert die SID keinen Benutzer, sondern alleine die Autorität, welche solche SIDs vergibt. Windows NT vergibt z.B. SIDs mit S-1-5. Damit kann man alleine aber noch keine Prüfung z.B. mit Benutzern machen. Es fehlt also noch die Subautorität, d.h. eine für den Computer oder Domäne eindeutige Nummer. Diese Subautorität vergibt dann nochmals eine relative ID (RID) für die Benutzer.

Sehen denn alle Revision 3 SIDs bei dir so aus (keine SubAuth)? Sonst würde ich vorsichtig sagen, dass man diese vorher entfernen muss (wohl erstmal per Hand). Allerdings kenne ich mich mit AD zu wenig aus, um zu sagen, dass dies ohne Gefahr möglich ist. Auf jeden Fall sollten die AD Funktionen und AccessCheck damit umgehen können, weil sie einfach die SID Strukturen auf Gleichheit prüfen (zumindest AccessCheck). Die Standardfunktionen der WinAPI für die Manipulation von SIDs prüfen jedoch immer die Revision auf 1, so dass es zu diesem Fehler kommt.

OK, dann werd ich nächste Woche, wenn ich wieder im Büro bin, mal versuchen, herauszufinden, zu was für Objekten diese SIDs gehören.

Verstehe ich Dich aber denn dann grundsätzlich richtig, dass das Problem in diesem Fall nicht in meinem Code, sondern in unserem AD liegt?

Selbst, wenn ich die fehlerhaften(?) Objekte in unserem AD finden und "unschädlich" machen kann, habe ich ja keine Kontrolle über die ADs unserer Kunden... (dieser Code soll irgendwann einmal in einem Shareware-Produkt landen) Gäbe es denn vielleicht irgendeine Möglichkeit, den Code gegen solche Fälle "abzuhärten"? Z.B. indem man diese Einträge einfach ignoriert, statt den Vorgang komplett abzubrechen?

Ich hab noch nirgends eine SID mit revision ungleich 1 gesehen. Natürlich könntest du diese SID ignorieren oder auf 1 setzen, aber was dabei herauskommt (insbesondere ein Sicherheitsloch) kann ich nicht sagen.

Es wäre interessant und vllt wichtig zu wissen, woher diese SID eigentlich stammt. Weil eigentlich bedeutet die Revisionssnummer, dass auch die Struktur irgendwie angepasst wurde und daher ein anderer Algorithmus angewendet werden muss, um z.B. von String auf SID oder zurück zu kommen.