Guten Morgen Michael,

die merkwürdige SID S-1-5-5-X-Y (Logon Session) gehört zu den well-known security identifiers: MSKB Q243330

Ist ja nicht gesagt, dass jede SID einen Klartextnamen besitzt. Du rufst in deiner Funktion StrSIDToName() die API Funktion LookupAccountSIDA() auf um die Puffergröße zu ermitteln, prüfst aber nicht auf Erfolg. Schon an dieser Stelle signalisiert Windows ERROR_NON_MAPPED, was für mich aussagekräftiger ist als der über SysErrorMessage() lokalisierte Fehlertext.

Freundliche Grüße