应用程序特定的权限设置

应用程序特定的权限设置

Windows 10 专业版安装了最新补丁的系统,但出现了很多错误事件 ID 10016。 一个例子:

  • 应用程序特定的权限设置未向用户 COLOSSUS\Slacker SID (S-1-5-21-550145320-736483266-2972815005-1001) 授予 CLSID 为 {D63B10C5-BB46-4990-A94F-E40B9D520160}、APPID 为 {9CA88EE3-ACB7-47C8-AFC4-AB702511C276} 的 COM 服务器应用程序的本地激活权限,该权限来自地址 LocalHost (使用 LRPC),运行于应用程序容器 Unavailable SID (Unavailable)。可以使用组件服务管理工具修改此安全权限。

我遇到过一些建议,指导我使用 regedit 更改具有相应键的项目的权限。当我尝试这样做时,我被拒绝进行更改。

此外,权限对话框出现时,有一个我从未见过的条目,列出了“ Account Unknown(S-1-15-3...”。我也无法删除该帐户。

问题:我该如何更改权限以消除 10016 错误,或者可以忽略它们吗?

笔记:我记得直到最近才看到它们出现(例如,也许是在 2018 年春季更新之后)。

答案1

根据微软的说法,你应该忽略这 10016 个事件 ID是的不建议试图通过操纵对象的安全性等来修复,以规避这些设计。在解决方法部分中有一个XML过滤查询方法,供高级用户抑制。

安全忽略这些事件 ID 10016

具体要点和这些要点根据供应商 Microsoft 的 10016 事件 ID。 。 。

  • “可以安全地忽略这些事件,因为它们不会对功能产生不利影响并且是设计使然。这是针对这些事件的推荐操作。”


  • “您还可以通过修改 DCOM 组件的权限来解决此问题,以防止记录此错误。但是,我们不建议使用此方法,因为这些错误不会对功能产生不利影响,而修改权限可能会产生意想不到的副作用。”


Windows 中记录了 DCOM 事件 ID 10016

症状

适用于: Windows 10 版本 1909 Windows Server 版本 1909(数据中心版、标准版) Windows 10 版本 1903 Windows Server 版本 1903 Windows 10 版本 1809 Windows Server 2019,所有版本 Windows Server 版本 1803 Windows 10 版本 1803 Windows 10 版本 1709 Windows 10 版本 1703 Windows 10 版本 1607 Windows Server 2016 标准版 Windows Server 2016 数据中心版 Windows Server 2016 标准版 Nano Server 安装选项 Windows Server 2016 数据中心版 Nano Server 安装选项 Windows Server 2016 Essentials

应用程序特定权限设置相关事件

Source:        Microsoft-Windows-DistributedCOM
Event ID:      10016

Description: The application-specific permission settings do not grant Local Activation permission 
for the COM Server application with CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} and APPID
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276} to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from 
address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). 
This security permission can be modified using the Component Services administrative tool.

Description: The application-specific permission settings do not grant Local Activation permission 
for the COM Server application with CLSID {260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E} and APPID
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E} to the user machine\user SID (S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx) 
from address LocalHost (using LRPC) running in the application container 
Microsoft.Windows.ShellExperienceHost_10.0.14393.726_neutral_neutral_cw5n1h2txyewy
SID (S-1-15-2-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx).
This security permission can be modified using the Component Services administrative tool.

Description: The application-specific permission settings do not grant Local Activation permission 
for the COM Server application with CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} and APPID
{4839DDB7-58C2-48F5-8283-E1D1807D0D7D} to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) 
from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). 
This security permission can be modified using the Component Services administrative tool.

原因

当 Microsoft 组件尝试在没有所需权限的情况下访问 DCOM 组件时,会记录这些 10016 事件。在这种情况下,这是预料之中的,也是设计使然。

已实现一种编码模式,其中代码首先尝试使用一组参数访问 DCOM 组件。如果第一次尝试不成功,它会使用另一组参数再次尝试。它之所以不跳过第一次尝试,是因为在某些情况下它可以成功。在这些情况下, 这是更好的


解决方法

可以安全地忽略这些事件,因为它们不会对功能产生不利影响并且是设计使然。这是针对这些事件的建议操作。

如果需要,高级用户和 IT 专业人员可以通过创建过滤器并手动编辑过滤器的 XML 查询来抑制事件查看器中的这些事件,如下所示:

<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*</Select>
    <Suppress Path="System">
      *[System[(EventID=10016)]]
      and
      *[EventData[
        (
          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and
          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}'
        ) 
        or
        (
          Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and
          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'
        ) 
        or
        (
          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}'
        )
        or
        (
          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and
          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}'
        ) 
        or
        (
          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}'
        )
      ]]
    </Suppress>
  </Query>
</QueryList>

该查询中,param4 对应 COM 服务器应用程序 CLSID,param5 对应 APPID,它们都记录在 10016 事件日志中。

有关手动构建事件查看器查询的详细信息,请参阅Windows 事件查看器中的高级 XML 过滤

您还可以通过修改 DCOM 组件的权限来解决此问题,以防止记录此错误。但是,我们不建议使用此方法,因为这些错误不会对功能产生不利影响,而修改权限可能会产生意想不到的副作用。

来源

答案2

我不确定这是否能完全修复,但我必须分享它。您可以在此线程中阅读它的详细描述。您看到的错误很可能是此问题的征兆。

tenforums.com 上的源帖子

tl;dr 修复:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc  

Change the DWORD DelayedAutoStart from 1 to 0.  

相关内容