特定于应用程序的权限设置

Mark Olbert 发表于 Dev

102

马克·奥尔伯特

在具有所有最新修补程序的Windows 10 Pro系统上，事件ID 10016导致很多错误。一个例子：

特定于应用程序的权限设置不会将具有CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160}和APPID {9CA88EE3-ACB7-47C8-AFC4-AB702511C276}的COM Server应用程序的本地激活权限授予用户COLOSSUS \ Slacker SID （S-1-5-21-550145320-736483266-2972815005-1001）来自在应用程序容器中运行的地址LocalHost（使用LRPC）不可用SID（不可用）。可以使用组件服务管理工具来修改此安全许可。

我遇到了一些建议，这些建议指导我使用regedit来更改具有相应密钥的项目的权限。当我尝试这样做时，我无法进行更改。

另外，权限对话框中有一个我从未见过的条目，其中列出了一个“ Account Unknown(S-1-15-3...”。我也无法删除该帐户。

问题：如何更改权限以消除10016错误，还是可以忽略它们？

注意：我不记得直到最近才看到它们出现（例如，也许在2018年春季更新之后）。

多喝皮条鱼果汁IT

对于Microsoft，您应该只忽略这10016个事件ID，不建议尝试通过操纵对象的安全性进行修复，并且避免由于设计而发生这些事件。在解决方法部分有一个为高级用户以抑制XML过滤查询方法。

安全地忽略这些事件ID 10016

每个供应商Microsoft的10016事件ID的特定点和指向这些点的位置。。。

“可以安全地忽略这些事件，因为它们不会对功能产生不利影响，并且是设计使然。这是针对这些事件的建议措施。”

“您还可以通过修改DCOM组件的权限来解决此问题，以防止记录此错误。但是，我们不建议您使用此方法，因为这些错误不会对功能产生不利影响，并且修改权限可能会带来意想不到的副作用。”

Windows中记录了DCOM事件ID 10016

症状

_{适用于： Windows 10版本1909 Windows Server版本1909（Datacenter，Standard）Windows 10版本1903 Windows Server版本1903 Windows 10版本1809 Windows Server 2019所有版本Windows Server版本1803 Windows 10版本1803 Windows 10 ，版本1709 Windows 10，版本1703 Windows 10，版本1607 Windows Server 2016 Standard Windows Server 2016 Datacenter Windows Server 2016 Standard Edition Nano Server安装选项Windows Server 2016 Datacenter Edition Nano Server安装选项Windows Server 2016 Essentials}
特定于应用程序的权限设置相关事件
Source:        Microsoft-Windows-DistributedCOM
Event ID:      10016

Description: The application-specific permission settings do not grant Local Activation permission 
for the COM Server application with CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} and APPID
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276} to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from 
address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). 
This security permission can be modified using the Component Services administrative tool.
Description: The application-specific permission settings do not grant Local Activation permission 
for the COM Server application with CLSID {260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E} and APPID
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E} to the user machine\user SID (S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx) 
from address LocalHost (using LRPC) running in the application container 
Microsoft.Windows.ShellExperienceHost_10.0.14393.726_neutral_neutral_cw5n1h2txyewy
SID (S-1-15-2-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx).
This security permission can be modified using the Component Services administrative tool.
Description: The application-specific permission settings do not grant Local Activation permission 
for the COM Server application with CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} and APPID
{4839DDB7-58C2-48F5-8283-E1D1807D0D7D} to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) 
from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). 
This security permission can be modified using the Component Services administrative tool.
原因

当Microsoft组件尝试在没有所需权限的情况下访问DCOM组件时，将记录这些10016事件。在这种情况下，这是预期的并且是设计使然。

已经实现了一种编码模式，其中代码首先尝试使用一组参数访问DCOM组件。如果第一次尝试失败，则使用另一组参数再次尝试。它不跳过第一次尝试的原因是因为在某些情况下它可以成功。在那些情况下， 那是可取的。

解决方法

这些事件可以安全地忽略，因为它们不会对功能产生不利影响，并且是设计使然。这是针对这些事件的推荐操作。

如果需要，高级用户和IT专业人员可以通过创建过滤器并手动编辑过滤器的XML查询来隐藏事件查看器中的这些事件，类似于以下内容：
<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*</Select>
    <Suppress Path="System">
      *[System[(EventID=10016)]]
      and
      *[EventData[
        (
          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and
          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}'
        ) 
        or
        (
          Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and
          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'
        ) 
        or
        (
          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}'
        )
        or
        (
          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and
          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}'
        ) 
        or
        (
          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}'
        )
      ]]
    </Suppress>
  </Query>
</QueryList>
在此查询中，param4对应于COM Server应用程序CLSID，param5对应于记录在10016事件日志中的APPID。

有关手动构造Event Viewer查询的更多信息，请参见Windows Event Viewer中的高级XML过滤。

您还可以通过修改DCOM组件的权限来解决此问题，以防止记录此错误。但是，我们不建议使用此方法，因为这些错误不会对功能产生不利影响，并且修改权限可能会带来意想不到的副作用。

来源