Configurações de permissão específicas do aplicativo


9

Em um sistema Windows 10 Pro com todos os patches mais recentes, estou recebendo muitos erros com a identificação de evento 10016 . Um exemplo:

  • As configurações de permissão específicas do aplicativo não concedem permissão de Ativação Local para o aplicativo COM Server com CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} e APPID {9CA88EE3-ACB7-47C8-AFC4-AB702511C276} para o usuário COLOSSUS \ Slacker SID (S-1-5-21-550145320-736483266-2972815005-1001) do endereço LocalHost (usando LRPC) em execução no SID do contêiner do aplicativo Indisponível (Indisponível). Esta permissão de segurança pode ser modificada usando a ferramenta administrativa dos Serviços de Componentes.

Encontrei conselhos que me orientam a usar o regedit para alterar as permissões nos itens com as chaves correspondentes. Quando tento fazer isso, me é negada a capacidade de fazer alterações.

Além disso, a caixa de diálogo de permissões tem uma entrada que eu nunca vi antes quando aparece, listando um " Account Unknown(S-1-15-3...". Também não consigo remover essa conta.

Pergunta: Como faço para alterar as permissões para eliminar os erros 10016 ou é aceitável ignorá-los?

Nota: Não me lembro de vê-los surgir até relativamente recentemente (por exemplo, talvez após a atualização da primavera de 2018).

Respostas:


4

De acordo com a Microsoft, você deve ignorar esses 10016 IDs de eventos e não é recomendável tentar corrigir a manipulação da segurança de objetos e contornar esses erros por design. Na seção Solução alternativa , há um método de consulta de filtragem XML para usuários avançados suprimir.

Ignore com segurança essas identificações de evento 10016

Os pontos específicos e para esses pontos por fornecedor da Microsoft para o 10016 Event ID . . .

  • "Esses eventos podem ser ignorados com segurança porque não afetam adversamente a funcionalidade e são projetados. Essa é a ação recomendada para esses eventos".


  • "Você também pode contornar esse problema modificando as permissões nos componentes DCOM para impedir que esse erro seja registrado. No entanto, não recomendamos esse método porque esses erros não afetam adversamente a funcionalidade e a modificação das permissões pode ter efeitos colaterais indesejados".


Identificação do evento DCOM 10016 é registrada no Windows

Sintomas

Aplica-se a: Windows Server versão 1803, Windows 10 versão 1803, Windows 10 versão 1709, Windows 10 versão 1703, Windows 10 versão 1607, Windows Server 2016 Standard, Windows Server 2016 Datacenter, opção de instalação do Nano Server da edição padrão do Windows Server 2016, Windows Server Opção de instalação do Nano Server 2016 do Datacenter edition, Windows Server 2016 Essentials

Eventos relacionados às configurações de permissão específicas do aplicativo

Source:        Microsoft-Windows-DistributedCOM
Event ID:      10016

Description: The application-specific permission settings do not grant Local Activation permission 
for the COM Server application with CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} and APPID
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276} to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from 
address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). 
This security permission can be modified using the Component Services administrative tool.

Description: The application-specific permission settings do not grant Local Activation permission 
for the COM Server application with CLSID {260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E} and APPID
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E} to the user machine\user SID (S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx) 
from address LocalHost (using LRPC) running in the application container 
Microsoft.Windows.ShellExperienceHost_10.0.14393.726_neutral_neutral_cw5n1h2txyewy
SID (S-1-15-2-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx).
This security permission can be modified using the Component Services administrative tool.

Description: The application-specific permission settings do not grant Local Activation permission 
for the COM Server application with CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} and APPID
{4839DDB7-58C2-48F5-8283-E1D1807D0D7D} to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) 
from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). 
This security permission can be modified using the Component Services administrative tool.

Causa

Esses eventos 10016 são registrados quando os componentes da Microsoft tentam acessar os componentes do DCOM sem as permissões necessárias. Nesse caso, isso é esperado e por design.

Um padrão de codificação foi implementado onde o código tenta acessar os componentes DCOM primeiro com um conjunto de parâmetros. Se a primeira tentativa não tiver êxito, ela tenta novamente com outro conjunto de parâmetros. A razão pela qual não pula a primeira tentativa é porque há cenários em que ela pode ser bem-sucedida. Nesses cenários, isso é preferível .


Solução alternativa

Esses eventos podem ser ignorados com segurança porque não afetam adversamente a funcionalidade e são projetados. Esta é a ação recomendada para esses eventos.

Se desejado, usuários avançados e profissionais de TI podem suprimir esses eventos da exibição no Event Viewer, criando um filtro e editando manualmente a consulta XML do filtro, semelhante à seguinte:

<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*</Select>
    <Suppress Path="System">
      *[System[(EventID=10016)]]
      and
      *[EventData[
        (
          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and
          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}'
        ) 
        or
        (
          Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and
          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'
        ) 
        or
        (
          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}'
        )
        or
        (
          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and
          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}'
        ) 
        or
        (
          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}'
        )
      ]]
    </Suppress>
  </Query>
</QueryList>

Nesta consulta, o param4 corresponde ao aplicativo CLSID do servidor COM e o param5 corresponde ao APPID registrado nos logs de eventos 10016.

Para obter mais informações sobre a construção manual de consultas do Visualizador de Eventos, consulte Filtragem XML avançada no Visualizador de Eventos do Windows .

Você também pode solucionar esse problema modificando as permissões nos componentes DCOM para impedir que esse erro seja registrado. No entanto, não recomendamos esse método porque esses erros não afetam adversamente a funcionalidade e a modificação das permissões pode ter efeitos colaterais indesejados.

Fonte


11
Aparentemente, isso começou a causar congelamentos do sistema, pois os logs que eu vejo correlacionam-se com o sistema que não responde. Você ainda está recomendando ignorá-los ou eles podem ser o motivo que o causou?
Johnny_D 27/01

11
@Johnny_D Envie uma nova pergunta e inclua os detalhes aplicáveis ​​em relação ao seu problema para obter ajuda. Eu pessoalmente nunca recomendei ignorá-los; A Microsoft sugere isso pelos detalhes que forneci. Eu sou o mensageiro neste caso. Eu tenho uma versão mais antiga de um sistema operacional Windows, devido a um problema com o software proprietário e a obter erros equivalentes, analisei os detalhes específicos por meio do registro e a segurança ajustada no registro e / ou módulo DCOM, se bem me lembro. De qualquer forma, inicie uma nova postagem e adicione seus detalhes, se precisar, com mais detalhes no seu caso.
Pimp Juice IT

0

Não tenho certeza se essa é uma correção de 100%, mas tive que compartilhá-la. Você pode ler a descrição extensa deste tópico. O erro que você vê provavelmente é um sintoma disso.

Tópico de origem em tenforums.com

E a correção tl; dr:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc  

Change the DWORD DelayedAutoStart from 1 to 0.  
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.