Содержание
Даже в новой установке Windows 10 вы можете увидеть некоторые ошибки DistributedCOM (DCOM) с кодом события: 10016 в журнале системных событий. Вот несколько примеров событий:
Log Name: System
Source: Microsoft-Windows-DistributedCOM
Date:
Event ID: 10016
Task Category: None
Level: Error
Keywords: Classic
User: DESKTOP-JKJ4G5Q\ramesh
Computer: DESKTOP-JKJ4G5Q
Description:
The machine-default permission settings do not grant Local Activation permission for the COM Server application with CLSID
{C2F03A33-21F5-47FA-B4BB-156362A2F239}
and APPID
{316CDED5-E4AE-4B15-9113-7055D84DCC97}
to the user DESKTOP-JKJ4G5Q\ramesh SID (S-1-5-21-***) from address LocalHost (Using LRPC) running in the application container Microsoft.Windows.Cortana_1.9.6.16299_neutral_neutral_cw5n1h2txyewy SID (S-1-15-2-1861897761-1695161497-2927542615-642690995-327840285-2659745135-2630312742). This security permission can be modified using the Component Services administrative tool.Log Name: System
Source: Microsoft-Windows-DistributedCOM
Date:
Event ID: 10016
Task Category: None
Level: Error
Keywords: Classic
User: DESKTOP-JKJ4G5Q\ramesh
Computer: DESKTOP-JKJ4G5Q
Description:
The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID
{D63B10C5-BB46-4990-A94F-E40B9D520160}
and APPID
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}
to the user DESKTOP-JKJ4G5Q\ramesh SID (S-1-5-21-***) from address LocalHost (Using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID
{D63B10C5-BB46-4990-A94F-E40B9D520160}
and APPID
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}
to the user NT AUTHORITY\NETWORK SERVICE SID (S-1-5-20) from address LocalHost (Using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.Наиболее распространенный код события: 10016, о которых сообщили пользователи:
Immersive Shell
GUID : {C2F03A33-21F5-47FA-B4BB-156362A2F239}
APPID : {316CDED5-E4AE-4B15-9113-7055D84DCC97}
RuntimeBroker
GUID : {D63B10C5-BB46-4990-A94F-E40B9D520160}
APPID : {9CA88EE3-ACB7-47C8-AFC4-AB702511C276}Эти записи об ошибках в журнале событий появляются, если определенные процессы не имеют разрешений для компонентов DCOM, упомянутых в журналах событий. Несмотря на эти ошибки, система может функционировать хорошо без каких-либо серьезных проблем, и в этом случае ошибки можно игнорировать безопасно. Так как они сказали «Если оно не сломалось, не почините«Если система все равно работает нормально, просто игнорируйте ошибки DCOM.
Обходной путь для Windows.SecurityCenter DCOM Event ID 10016
Log Name: System Source: Microsoft-Windows-DistributedCOM Date: Event ID: 10016 Task Category: None Level: Warning Keywords: Classic User: SYSTEM Computer: DESKTOP-JKJ4G5Q Description: The application-specific permission settings do not grant Local Launch permission for the COM Server application with CLSID Windows.SecurityCenter.WscBrokerManager and APPID Unavailable to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from address LocalHost (Using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool. Log Name: System Source: Microsoft-Windows-DistributedCOM Date: Event ID: 10016 Task Category: None Level: Warning Keywords: Classic User: SYSTEM Computer: DESKTOP-JKJ4G5Q Description: The application-specific permission settings do not grant Local Launch permission for the COM Server application with CLSID Windows.SecurityCenter.SecurityAppBroker and APPID Unavailable to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from address LocalHost (Using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool. Log Name: System Source: Microsoft-Windows-DistributedCOM Date: Event ID: 10016 Task Category: None Level: Warning Keywords: Classic User: SYSTEM Computer: DESKTOP-JKJ4G5Q Description: The application-specific permission settings do not grant Local Launch permission for the COM Server application with CLSID Windows.SecurityCenter.WscDataProtection and APPID Unavailable to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from address LocalHost (Using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.
Для вышеуказанных ошибок, связанных с Windows.SecurityCenter, установите службу центра безопасности (wscsvc) к автоматическому запуску вместо автоматического (отложенный запуск), по-видимому, предотвращает ошибки DCOM. Чтобы установить службу Центр безопасности (wscsvc) чтобы автоматическая начать, установить DelayedAutoStart DWORD значение до 0 в следующем разделе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
Просто игнорируйте ошибки DCOM
Согласно Microsoft:
Эти 10016 событий записываются, когда компоненты Microsoft пытаются получить доступ к компонентам DCOM без необходимых разрешений. В этом случае это ожидается и по замыслу.
Был реализован шаблон кодирования, где код сначала пытается получить доступ к компонентам DCOM с одним набором параметров. Если первая попытка не удалась, она пытается снова с другим набором параметров. Причина, по которой он не пропускает первую попытку, заключается в том, что существуют сценарии, в которых он может быть успешным. В этих сценариях это предпочтительнее.
Для получения дополнительной информации см. Статью Microsoft. Событие DCOM с идентификатором 10016 регистрируется в Windows 10, Windows Server 2016 и Windows Server 2019. Microsoft предлагает создать фильтр (источник XML представлен в статье), чтобы скрыть события DCOM 10016.
Подавить события DCOM 10016 с помощью этого фильтра
*[System[(EventID=10016)]]
and
*[EventData[
(
Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and
Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}' and
Data[@Name='param8'] and Data='S-1-5-18'
)
or
(
Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and
Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'
)
or
(
Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}' and
Data[@Name='param8'] and Data='S-1-5-19'
)
or
(
Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and
Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}' and
Data[@Name='param8'] and Data='S-1-5-19'
)
]]
- Откройте Просмотрщик событий. Разверните Журналы Windows → Система.
- щелчок Фильтровать текущий журнал…
- Выберите вкладку XML и включите Редактировать запрос вручную.
- Скопируйте / вставьте приведенный выше XML-файл в диалоговое окно фильтра и нажмите кнопку «ОК».
Записи об ошибках DCOM с идентификатором события 10016 теперь скрыты от глаз.
Если, с другой стороны, какое-то приложение или функция (например, Cortana) не работает должным образом из-за неправильных разрешений DCOM, вот как это исправить.
Исправление разрешений DCOM с помощью редактора реестра DCom Config
Чтобы предотвратить регистрацию событий, выполните следующие действия, чтобы предоставить разрешение компонентам DCOM, которые имеют определенные CLSID и APPID. Давайте рассмотрим случай RuntimeBroker, чей CLSID, указанный в журнале событий, {D63B10C5-BB46-4990-A94F-E40B9D520160} APPID это {9CA88EE3-ACB7-47C8-AFC4-AB702511C276}
Важный: Прежде чем продолжить, создайте точку восстановления системы, поскольку неправильная настройка разрешений DCOM может перемена Окна. Желательно сделать полную резервную копию образа, если это возможно.
- Запустите редактор реестра (
regedit.exe). - Перейти к следующему ключу:
HKEY_CLASSES_ROOT\CLSID\{D63B10C5-BB46-4990-A94F-E40B9D520160}
- Запишите значение (по умолчанию) значения в приведенном выше ключе, который в данном случае RuntimeBroker
- Теперь перейдите к следующему ключу AppID:
HKEY_CLASSES_ROOT\AppID\{9CA88EE3-ACB7-47C8-AFC4-AB702511C276} - По умолчанию TrustedInstaller является владельцем этого раздела реестра и его подразделов. Установите Администратора как владельца ключа и его подразделов. Посмотрите, как стать владельцем разделов реестра и назначить полные права доступа для получения дополнительной информации.
- После настройки Администраторы как владелец, назначить Администраторы группа и СИСТЕМА У учетной записи есть разрешение «Полный доступ» для ключа и подразделов.
- Выйдите из редактора реестра.
- Запустите инструмент настройки DCOM dcomcnfg.exe
- Развернуть Услуги по компонентам | Компьютеры | Мой компьютер | DCOM Config.
- Щелкните правой кнопкой мыши приложение, которое соответствует AppID, записанному в журнале событий, и выберите «Свойства». Имя приложения в этом примере RuntimeBroker который вы нашли в шаге 3 выше. Утилита DCom Config отображает две записи RuntimeBroker. Чтобы найти правильный вариант, щелкните правой кнопкой мыши элемент, выберите «Свойства» и сопоставьте идентификатор приложения с идентификатором в реестре (рисунок 1).
- Выберите вкладку «Безопасность».
- В разделе «Разрешения на запуск и активацию» выберите «Настройка» и нажмите «Изменить».
Обратите внимание, что если кнопка «Изменить» недоступна на странице свойств приложения RuntimeBroker в конфигурации DCOM, вам необходимо проверить разрешения раздела реестра AppID (повторите шаги 4-6 выше).
- В группе или именах пользователей выберите Добавить.
- Введите имя группы или пользователя, записанное в журнале событий. Например, учетная запись, записанная в журнале, может быть
NT AUTHORITY\NETWORK SERVICE,NT AUTHORITY\SYSTEMили какая-то другая группа или учетная запись. - Нажмите ОК.
- Присвоить Локальная активация разрешение для того пользователя или группы, которую вы добавили, и завершите процесс.
Это предотвращает ошибки журнала событий Event ID: 10016 относящиеся к разрешениям DCOM.
