Windows 中记录 DCOM 事件 ID 10016
2022/6/30 5:22:17
本文主要是介绍Windows 中记录 DCOM 事件 ID 10016,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
https://docs.microsoft.com/zh-CN/troubleshoot/windows-client/application-management/event-10016-logged-when-accessing-dcom
本文提供了一种解决方法,用于解决访问 DCOM 组件时 Windows 中记录的事件 10016。
适用于: Windows 10 - 所有版本、Windows Server 2019、Windows Server 2016
原始 KB 编号: 4022522
症状
在运行 Windows10、Windows Server 2019 或 Windows Server 2016 的计算机上,系统事件日志中记录了以下事件。
输出Source: Microsoft-Windows-DistributedCOM Event ID: 10016 Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} and APPID {9CA88EE3-ACB7-47C8-AFC4-AB702511C276} to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.d Source: Microsoft-Windows-DistributedCOM Event ID: 10016 Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID {260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E} and APPID {260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E} to the user machine\user SID (S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx) from address LocalHost (using LRPC) running in the application container Microsoft.Windows.ShellExperienceHost_10.0.14393.726_neutral_neutral_cw5n1h2txyewy SID (S-1-15-2-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx). This security permission can be modified using the Component Services administrative tool. Source: Microsoft-Windows-DistributedCOM Event ID: 10016 Description: The machine-default permission settings do not grant Local Activation permission for the COM Server application with CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} and APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool. Source: Microsoft-Windows-DistributedCOM Event ID: 10016 Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} and APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.
原因
如果 Microsoft 组件在没有所需权限的情况下尝试访问 DCOM 组件,就会记录这些 10016 事件。 此时,这种行为是按预期设计的。
在代码首次尝试用一组参数访问 DCOM 组件时,便已经实现了编码模式。 如果首次尝试不成功,它将使用另一组参数再次尝试。 它不跳过首次尝试的原因是,有某些场景下可以成功。 在这些场景下,这是更好的选择。
解决方法
这些事件可以被安全地忽略,因为它们不会对功能造成不良影响,而且是设计需要。 这是对这些事件的建议操作。
如果需要,高级用户和 IT 专业人员可以在事件查看器中禁止视图中显示这些事件。 为此,请创建筛选器并手动编辑筛选器的 XML 查询,如下所示:
XML<QueryList> <Query Id="0" Path="System"> <Select Path="System">*</Select> <Suppress Path="System"> *[System[(EventID=10016)]] and *[EventData[ ( Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}' and Data[@Name='param8'] and Data='S-1-5-18' ) or ( Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' ) or ( Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}' and Data[@Name='param8'] and Data='S-1-5-19' ) or ( Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}' and Data[@Name='param8'] and Data='S-1-5-19' ) ]] </Suppress> </Query> </QueryList>
在本查询中:
- param4 对应于 COM 服务器应用程序 CLSID。
- param5 对应于 APPID。
- param8 对应于安全上下文 SID。
所有这些都记录在 10016 事件日志中。
有关手动构造事件查看器查询的信息,请参阅使用事件。
还可以通过修改 DCOM 组件上的权限来解决此问题,以防止记录该错误。 但是,我们不建议使用此方法,因为:
- 这些错误不会对功能产生不利影响
- 修改权限可能会产生意外的负面影响。
这篇关于Windows 中记录 DCOM 事件 ID 10016的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-04-16软路由代理问题, tg 无法代理问题-icode9专业技术文章分享
- 2024-04-16程序猿用什么锅-icode9专业技术文章分享
- 2024-04-16自建 NAS 的方案-icode9专业技术文章分享
- 2024-04-14ansible 在远程主机上执行脚本,并传入参数-icode9专业技术文章分享
- 2024-04-14ansible 在远程主机上执行脚本,并传入参数, 加上remote_src: yes 配置-icode9专业技术文章分享
- 2024-04-14ansible 检测远程主机的8080端口,如果关闭,则echo 进程已关闭-icode9专业技术文章分享
- 2024-04-14result 成功怎么写-icode9专业技术文章分享
- 2024-04-14stopped 状态设置为变量,由外部传递进来-icode9专业技术文章分享
- 2024-04-14为什么ansible执行远程脚本需要放到后台-icode9专业技术文章分享
- 2024-04-14shell 正则判断字符串内是否含有th-icode9专业技术文章分享