none
Windows 10 pro и Неизвестная учетная запись RRS feed

  • Общие обсуждения

  • Доброго времени суток

    Не так давно я решил перейти на Windows 10 и разбираясь с какой то проблемой наткнулся на странную учетную запись в реестре в разрешениях, а именно в ветке HKEY_CURRENT_USER причем на верхнем уровне её нету, а выглядит она вот так Неизвестная учетная запись(S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681), сначала я подумал что это какая то хитрая учетка от Касперского, но установив Windows с нуля я снова увидел в реестре эту запись. Кто сможет внятно пояснить зачем Microsoft оставила эту пакость?

    • Изменен тип Anton Sashev Ivanov 3 октября 2016 г. 5:47 Обсуждение
    • Изменен тип realCisco 3 октября 2016 г. 8:51 Нужно выяснить
    • Изменен тип Anton Sashev Ivanov 13 октября 2016 г. 7:56 Обсуждение
    1 октября 2016 г. 13:01

Все ответы

  • Здравствуйте,

    Скорее всего это пользователь defaultuser0, который появился после обновления 1607.

    Подобная тема обсуждена в английской ветке: Windows 10 Anniversary Update: The case of the mysterious account SID causing the flood of DCOM errors

    По defauluser0. Способ удаления от сотрудника  Microsoft  Support Engineer 


    Hi,

    I will be glad to help you with the issue you have with the user account.

    If you don't need the user account, you can delete it.

    • Delete the 'DefaultUser0' folder from C:\Users\
    • Delete the 'DefaultUser0' registry entry from: HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList\
    • Click on each of the listed profiles and check the 'ProfielImagePath' entry to verify the associated profile.

    Thank you.




    На сторонних форумах пишут, что можно удалить следующим, образом, но насколько правильно удалять и каких целей данная учетная запись создалась - неизвестно:

    1. Панель управления --> Администрирование --> Управление Компьютером --> Локальные пользователи --> Пользователи --> ПКМ по "defaultuser0" --> Удалить

    2. Панель управления --> Система --> Дополнительные параметры системы --> Профили пользователей --> "defaultuser0" --> Удалить

    3. Удалить в реестре профиль учетной записи defaultuser0 в следующей ветке

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList\
    P.S. Но все рекомендации со сторонних форумах если будете выполнять, только на свой страх и риск.

    Best Regards, Andrei ...
    MCP

    • Изменено SQxModerator 1 октября 2016 г. 15:11 исправлено
    1 октября 2016 г. 15:09
    Модератор
  • Дело в том, что я проверил все аккаунты и у них другие SIDы wmic useraccount list full

    S-1-5-21-3290144209-811610085-3854311798-503 (DefaultAccount)
    S-1-5-21-3290144209-811610085-3854311798-1000 (defaultuser0)
    S-1-5-21-3290144209-811610085-3854311798-1001 (моя)
    S-1-5-21-3290144209-811610085-3854311798-500 (Администратор)
    S-1-5-21-3290144209-811610085-3854311798-501 (Гость)

    S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681 а этот мало того что начинается с других цифр, но еще и в два раза длиннее.


    • Изменено realCisco 2 октября 2016 г. 6:41
    2 октября 2016 г. 6:33
  • Покажите пожалуйста результат следующей команды в командной строке (cmd.exe):
    reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" /s
    также:
    wmic useraccount where sid='S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681' get name


    Best Regards, Andrei ...
    MCP

    • Изменено SQxModerator 2 октября 2016 г. 14:52 добавлено
    2 октября 2016 г. 14:48
    Модератор
  • PS C:\Windows\system32> reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" /s

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
        Default    REG_EXPAND_SZ    %SystemDrive%\Users\Default
        ProfilesDirectory    REG_EXPAND_SZ    %SystemDrive%\Users
        ProgramData    REG_EXPAND_SZ    %SystemDrive%\ProgramData
        Public    REG_EXPAND_SZ    %SystemDrive%\Users\Public

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-18
        Flags    REG_DWORD    0xc
        ProfileImagePath    REG_EXPAND_SZ    %systemroot%\system32\config\systemprofile
        RefCount    REG_DWORD    0x1
        Sid    REG_BINARY    010100000000000512000000
        State    REG_DWORD    0x0

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-19
        ProfileImagePath    REG_EXPAND_SZ    C:\Windows\ServiceProfiles\LocalService
        Flags    REG_DWORD    0x0
        State    REG_DWORD    0x0

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-20
        ProfileImagePath    REG_EXPAND_SZ    C:\Windows\ServiceProfiles\NetworkService
        Flags    REG_DWORD    0x0
        State    REG_DWORD    0x0

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3290144209-811610085-3854311798-100
    0
        ProfileImagePath    REG_EXPAND_SZ    C:\Users\defaultuser0
        Flags    REG_DWORD    0x0
        State    REG_DWORD    0x0
        Sid    REG_BINARY    010500000000000515000000D19D1BC4E52F60307621BCE5E8030000
        ProfileAttemptedProfileDownloadTimeLow    REG_DWORD    0x0
        ProfileAttemptedProfileDownloadTimeHigh    REG_DWORD    0x0
        ProfileLoadTimeLow    REG_DWORD    0x0
        ProfileLoadTimeHigh    REG_DWORD    0x0
        RefCount    REG_DWORD    0x0
        RunLogonScriptSync    REG_DWORD    0x0

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3290144209-811610085-3854311798-100
    1
        ProfileImagePath    REG_EXPAND_SZ    C:\Users\******
        Flags    REG_DWORD    0x0
        State    REG_DWORD    0x0
        Sid    REG_BINARY    010500000000000515000000D19D1BC4E52F60307621BCE5E9030000
        ProfileAttemptedProfileDownloadTimeLow    REG_DWORD    0x0
        ProfileAttemptedProfileDownloadTimeHigh    REG_DWORD    0x0
        ProfileLoadTimeLow    REG_DWORD    0x0
        ProfileLoadTimeHigh    REG_DWORD    0x0
        RefCount    REG_DWORD    0x4
        RunLogonScriptSync    REG_DWORD    0x0

    А вторая команда выдаёт вполне справедливый ответ "Недопустимый параметр для этого уровня."

    2 октября 2016 г. 20:39
  • Единственная отсылка на этот SID только по тому адресу что Вы прислали в теме "Windows 10 Anniversary Update: The case of the mysterious account SID causing the flood of DCOM errors"

    А на MSDN написано что единственный SID начинающийся на S-1-15 это "ALL_APP_PACKAGES S-1-15-2-1 All applications running in an app package context."

    Мне кажется SID как то связан с WindowsApps

    PS C:\Program Files> icacls WindowsApps
    WindowsApps NT SERVICE\TrustedInstaller:(F)
                NT SERVICE\TrustedInstaller:(OI)(CI)(IO)(F)
                S-1-15-3-1024-3635283841-2530182609-996808640-1887759898-3848208603-3313616867-983405619-2501854204:(RX)
                S-1-15-3-1024-3635283841-2530182609-996808640-1887759898-3848208603-3313616867-983405619-2501854204:(OI)(CI)(IO)(GR,GE)
                NT AUTHORITY\СИСТЕМА:(F)
                NT AUTHORITY\СИСТЕМА:(OI)(CI)(IO)(F)
                BUILTIN\Администраторы:(CI)(RX)
                NT AUTHORITY\LOCAL SERVICE:(OI)(CI)(RX)
                NT AUTHORITY\NETWORK SERVICE:(OI)(CI)(RX)
                BUILTIN\Пользователи:(Rc,S,RD,REA,X,RA)
                Обязательная метка\Низкий обязательный уровень:(OI)(CI)(NW)

    Успешно обработано 1 файлов; не удалось обработать 0 файлов

    Но почему как SID, а не какая нибудь системная учетная запись?

    • Изменено realCisco 2 октября 2016 г. 21:01
    2 октября 2016 г. 20:44
  • Пробовал воспроизвести на тестовой платформе, нашел пока похожее в реестре в следующей ветки:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unmarshalers]
    Пока идеи нет, для чего указанная учетная запись необходимо, пробую на данный момент разобраться.

    P.S. Возможно кто-то из участников форума уже сталкивался  и  сможет подсказать.

    Best Regards, Andrei ...
    MCP

    • Изменено SQxModerator 3 октября 2016 г. 8:34 добавлено
    3 октября 2016 г. 8:32
    Модератор
  • В HKEY_LOCAL_MACHINE\SOFTWARE\Classes везде на любой ветки кликни "Разрешения" даже на верхнем уровне и увидишь, и как я уже сказал не только реестр, но и в файловой системе C:\Program Files\WindowsApps

    • Изменено realCisco 3 октября 2016 г. 8:50
    3 октября 2016 г. 8:48
  • За 2 недели что нибудь поменялось? Есть мысли топику?
    17 октября 2016 г. 7:02
  • У меня к сожалению новых идей нет, подождите может кто-нибудь из участников форума сможет помочь.

    Best Regards, Andrei ...
    MCP

    17 октября 2016 г. 8:58
    Модератор
  • https://social.technet.microsoft.com/Forums/windows/en-US/3e7d85e3-d0e1-4e79-8141-0bbf8faf3644/windows-10-anniversary-update-the-case-of-the-mysterious-account-sid-causing-the-flood-of-dcom?forum=win10itprosetup (а тут сам юзер)

    http://answers.microsoft.com/en-us/windows/forum/windows_10-performance/event-log-writes-error-related-to-application/e64806c2-510c-44c6-b22e-257d07d47200?page=4  (проблема с ним описана тут)

    Ссылку вставить не могу. (но все описанное сходится)

    17 октября 2016 г. 9:11
  • Вообще сама ветка S-1-15-3-1024 принадлежит безопасности свойств Интернета. Она же руководит и многими разрешениями самой файловой системы Windows.

    Думаю Вы правы в том, что это из WindowsApps. И уверен, что это или Cortana или ImmersiveControlPanel. Ибо именно они отвалились у меня, когда я внёс разрешения для себя для RuntimeBroker по пути HKEY_CLASSES_ROOT\CLSID\{2593f8b9-4eaf-457c-b68a-50f6b8ea6b54}.

    Ошибки при открытии установленных мною обычных Windows exe файлов прекратились, а эти ё. плитки отвалились.

    Похоже это допуск Cortana и ImmersiveControlPanel(меню Пуск и Доступ к Интернету) к объектам COM.

    Вообще эта учётка в реестре находится в

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses  AllCachedCapabilities

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\SecurityManager\CapabilityClasses   AllCachedCapabilities

    и больше нигде. Это безопасность. Причём причинившая много проблем пользователям.

    Ещё вот, что накопал: Поиск Гугл: anti-malware  Удаление идентификаторов SID может привести к сбою в работе Windows

    Там в статье эта учётка выделена особо.

    Только вот по представленной там же ссылке на собранный список учёток в Githup, этой не оказалось. Так, что и они не знают.





    • Изменено yandiy 11 декабря 2019 г. 18:18
    11 декабря 2019 г. 16:39