特定于应用程序的权限设置

Question

在安装了所有最新补丁的Windows 10 Pro系统上，我收到了很多关于Event Id 10016的错误。一个例子：

• 特定于应用程序的权限设置不会将具有 CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} 和 APPID {9CA88EE3-ACB7-47C8-AFC4-AB702511C276} 的 COM 服务器应用程序的本地激活权限授予用户 SSUS\ (S-1-5-21-550145320-736483266-2972815005-1001) 来自地址 LocalHost (Using LRPC) 在应用程序容器中运行的 Unavailable SID (Unavailable)。可以使用组件服务管理工具修改此安全权限。

我遇到了一些建议，指导我使用 regedit 更改具有相应键的项目的权限。当我尝试这样做时，我被剥夺了进行更改的能力。

此外，权限对话框有一个我以前从未见过的条目，其中列出了一个“ Account Unknown(S-1-15-3...”。我也无法删除该帐户。

问题：如何更改权限以消除 10016 错误，或者可以忽略它们？

注意：我不记得直到最近才看到它们出现（例如，可能在 2018 年春季更新之后）。

Answer 1

按照 Microsoft 的说法，您应该忽略这些 10016 个事件 ID，并且不建议尝试通过操纵对象的安全性来进行修复，因为这些是设计使然的。在解决方法部分，高级用户可以禁止使用 XML 过滤查询方法。

安全忽略这些事件 ID 10016

特定点以及每个供应商 Microsoft 针对 10016 事件 ID 的点。. .

• “可以安全地忽略这些事件，因为它们不会对功能产生不利影响并且是设计使然。这是针对这些事件的推荐操作。”

• “您还可以通过修改 DCOM 组件上的权限来解决此问题，以防止记录此错误。但是，我们不建议使用此方法，因为这些错误不会对功能产生不利影响，并且修改权限可能会产生意想不到的副作用。”

Windows 中记录了 DCOM 事件 ID 10016

症状

_{适用于： Windows 10，版本 1909 Windows Server，版本 1909（数据中心，标准） Windows 10，版本 1903 Windows Server，版本 1903 Windows 10，版本 1809 Windows Server 2019，所有版本 Windows Server 版本 1803 Windows 10，版本 1803 Windows 10 ，版本 1709 Windows 10，版本 1703 Windows 10，版本 1607 Windows Server 2016 Standard Windows Server 2016 Datacenter Windows Server 2016 Standard edition Nano Server 安装选项 Windows Server 2016 Datacenter edition Nano Server 安装选项 Windows Server 2016 Essentials}

应用特定权限设置相关事件

Source:        Microsoft-Windows-DistributedCOM
Event ID:      10016

Description: The application-specific permission settings do not grant Local Activation permission 
for the COM Server application with CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} and APPID
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276} to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from 
address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). 
This security permission can be modified using the Component Services administrative tool.

Description: The application-specific permission settings do not grant Local Activation permission 
for the COM Server application with CLSID {260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E} and APPID
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E} to the user machine\user SID (S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx) 
from address LocalHost (using LRPC) running in the application container 
Microsoft.Windows.ShellExperienceHost_10.0.14393.726_neutral_neutral_cw5n1h2txyewy
SID (S-1-15-2-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx).
This security permission can be modified using the Component Services administrative tool.

Description: The application-specific permission settings do not grant Local Activation permission 
for the COM Server application with CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} and APPID
{4839DDB7-58C2-48F5-8283-E1D1807D0D7D} to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) 
from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). 
This security permission can be modified using the Component Services administrative tool.

原因

当 Microsoft 组件尝试在没有所需权限的情况下访问 DCOM 组件时，会记录这些 10016 事件。在这种情况下，这是预期的和设计的。

已实施编码模式，其中代码首先尝试使用一组参数访问 DCOM 组件。如果第一次尝试不成功，它会使用另一组参数再次尝试。之所以不跳过第一次尝试，是因为存在可以成功的场景。在这些情况下， 这是可取的。

解决方法

这些事件可以安全地忽略，因为它们不会对功能产生不利影响并且是设计使然。这是针对这些事件的推荐操作。

如果需要，高级用户和 IT 专业人员可以通过创建过滤器并手动编辑过滤器的 XML 查询（类似于以下内容）在事件查看器中禁止查看这些事件：

<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*</Select>
    <Suppress Path="System">
      *[System[(EventID=10016)]]
      and
      *[EventData[
        (
          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and
          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}'
        ) 
        or
        (
          Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and
          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'
        ) 
        or
        (
          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}'
        )
        or
        (
          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and
          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}'
        ) 
        or
        (
          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}'
        )
      ]]
    </Suppress>
  </Query>
</QueryList>

在此查询中，param4 对应于 COM Server 应用程序 CLSID，param5 对应于 10016 事件日志中记录的 APPID。

有关手动构建事件查看器查询的详细信息，请参阅Windows 事件查看器中的高级 XML 筛选。

您还可以通过修改 DCOM 组件的权限来解决此问题，以防止记录此错误。但是，我们不推荐此方法，因为这些错误不会对功能产生不利影响，并且修改权限可能会产生意想不到的副作用。

来源