特定于应用程序的权限设置

9

在具有所有最新修补程序的Windows 10 Pro系统上,事件ID 10016导致很多错误。一个例子:

  • 特定于应用程序的权限设置不会向用户COLOSSUS \ Slacker SID授予具有CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160}和APPID {9CA88EE3-ACB7-47C8-AFC4-AB702511C276}的COM Server应用程序本地激活权限(S-1-5-21-550145320-736483266-2972815005-1001)来自在应用程序容器中运行的地址LocalHost(使用LRPC)不可用SID(不可用)。可以使用组件服务管理工具来修改此安全权限。

我遇到了一些建议,这些建议指导我使用regedit来更改具有相应密钥的项目的权限。当我尝试这样做时,我无法进行更改。

另外,权限对话框中有一个我从未见过的条目,其中列出了“ Account Unknown(S-1-15-3...”。我也无法删除该帐户。

问题:如何更改权限以消除10016错误,还是可以忽略它们?

注意:我不记得直到最近才看到它们出现(例如,也许在2018年春季更新之后)。

windows-10  permissions 
马克·奥尔伯特
source

Answers:

4

对于Microsoft,您应该只忽略这10016个事件ID不建议尝试通过操纵对象的安全性进行修复,并且避免由于设计而发生这些事件。在解决方法部分有一个为高级用户以抑制XML过滤查询方法。

安全地忽略这些事件ID 10016

每个供应商Microsoft的10016事件ID的特定点和指向这些点的位置。。。

  • “可以安全地忽略这些事件,因为它们不会对功能产生不利影响,并且是设计使然。这是针对这些事件的建议措施。”

  • “您还可以通过修改DCOM组件的权限来解决此问题,以防止记录此错误。但是,我们不建议您使用此方法,因为这些错误不会对功能产生不利影响,并且修改权限可能会产生意想不到的副作用。”

Windows中记录了DCOM事件ID 10016

症状

适用于: Windows Server版本1803,Windows 10版本1803,Windows 10版本1709,Windows 10版本1703,Windows 10版本1607,Windows Server 2016 Standard,Windows Server 2016 Datacenter,Windows Server 2016 Standard Edition Nano Server安装选项,Windows Server Windows Server 2016 Essentials 2016数据中心版Nano Server安装选项

特定于应用程序的权限设置相关事件

Source:        Microsoft-Windows-DistributedCOM
Event ID:      10016

Description: The application-specific permission settings do not grant Local Activation permission 
for the COM Server application with CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} and APPID
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276} to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from 
address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). 
This security permission can be modified using the Component Services administrative tool.

Description: The application-specific permission settings do not grant Local Activation permission 
for the COM Server application with CLSID {260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E} and APPID
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E} to the user machine\user SID (S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx) 
from address LocalHost (using LRPC) running in the application container 
Microsoft.Windows.ShellExperienceHost_10.0.14393.726_neutral_neutral_cw5n1h2txyewy
SID (S-1-15-2-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx).
This security permission can be modified using the Component Services administrative tool.

Description: The application-specific permission settings do not grant Local Activation permission 
for the COM Server application with CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} and APPID
{4839DDB7-58C2-48F5-8283-E1D1807D0D7D} to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) 
from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). 
This security permission can be modified using the Component Services administrative tool.

原因

当Microsoft组件尝试在没有必需权限的情况下访问DCOM组件时,将记录这些10016事件。在这种情况下,这是预期的,是设计使然。

已经实现了一种编码模式,其中代码首先尝试使用一组参数来访问DCOM组件。如果第一次尝试失败,则使用另一组参数再次尝试。它不跳过第一次尝试的原因是因为在某些情况下它可以成功。在那些情况下, 那是可取的

解决方法

这些事件可以安全地忽略,因为它们不会对功能产生不利影响,并且是设计使然。这是针对这些事件的推荐操作。

如果需要,高级用户和IT专业人员可以通过创建过滤器并手动编辑过滤器的XML查询来隐藏事件查看器中的这些事件,类似于以下内容:

<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*</Select>
    <Suppress Path="System">
      *[System[(EventID=10016)]]
      and
      *[EventData[
        (
          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and
          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}'
        ) 
        or
        (
          Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and
          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'
        ) 
        or
        (
          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}'
        )
        or
        (
          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and
          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}'
        ) 
        or
        (
          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}'
        )
      ]]
    </Suppress>
  </Query>
</QueryList>

在此查询中,param4对应于COM Server应用程序CLSID,param5对应于记录在10016事件日志中的APPID。

有关手动构造Event Viewer查询的更多信息,请参见Windows Event Viewer中的高级XML过滤

您还可以通过修改DCOM组件的权限来解决此问题,以防止记录此错误。但是,我们不建议使用此方法,因为这些错误不会对功能产生不利影响,并且修改权限可能会带来意想不到的副作用。

资源

皮条客果汁IT
source
1
显然这开始引起系统死机,因为我看到的日志与系统变得无响应有关。您是否仍建议忽略它们,否则可能是导致它们的原因?
Johnny_D
1
@Johnny_D请发布新问题,并提供有关您问题的适用详细信息以寻求帮助。我个人从不建议忽略这些。Microsoft建议按照我提供的详细信息进行操作。在这种情况下,我是信使。由于专有软件存在问题,并且安装了同等错误,因此我使用的是Windows OS的较旧版本,请通过注册表仔细研究这些细节,并调整注册表和/或DCOM模块的安全性(如果我没有记错的话)。无论如何,如果您需要挖掘一个新的帖子并添加更多详细信息,请添加更多详细信息。
Pimp Juice IT
0

我不确定这是否是100%的修复程序,但我必须分享。您可以在此线程中阅读它的冗长说明。您看到的错误很可能是这种现象的征兆。

tenforums.com上的源代码线程

和tl; dr修复: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc  

Change the DWORD DelayedAutoStart from 1 to 0.
abbaf33f
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.