none
Как в домене исправить ошибку связанную с DCOM RRS feed

  • Общие обсуждения

  • Допустим у нас есть в логах ошибка

    Log Name:      System
    Source:        Microsoft-Windows-DistributedCOM
    Date:          13.07.2010 12:13:05
    Event ID:      10016
    Task Category: None
    Level:         Error
    Keywords:      Classic
    User:         domen\user
    Computer:      comp.domen
    Description:
    The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID
    {0C0A3666-30C9-11D0-8F20-00805F2CD064}
     and APPID
    {9209B1A6-964A-11D0-9372-00A0C9034910}
     to the user domen\user SID (S-1-5-21-564343041-1714898424-1959552931-8100) from address LocalHost (Using LRPC). This security permission can be modified using the Component Services administrative tool.
    Event Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-DistributedCOM" Guid="{1B562E86-B7AA-4131-BADC-B6F3A001407E}" EventSourceName="DCOM" />
        <EventID Qualifiers="49152">10016</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2010-07-13T09:13:05.000000000Z" />
        <EventRecordID>7493</EventRecordID>
        <Correlation />
        <Execution ProcessID="0" ThreadID="0" />
        <Channel>System</Channel>
        <Computer>comp.domen</Computer>
        <Security UserID="S-1-5-21-564343041-1714898424-1959552931-8100" />
      </System>
      <EventData>
        <Data Name="param1">application-specific</Data>
        <Data Name="param2">Local</Data>
        <Data Name="param3">Activation</Data>
        <Data Name="param4">{0C0A3666-30C9-11D0-8F20-00805F2CD064}</Data>
        <Data Name="param5">{9209B1A6-964A-11D0-9372-00A0C9034910}</Data>
        <Data Name="param6">domen</Data>
        <Data Name="param7">user</Data>
        <Data Name="param8">S-1-5-21-564343041-1714898424-1959552931-8100</Data>
        <Data Name="param9">LocalHost (Using LRPC)</Data>
      </EventData>
    </Event>

    Нам необходимо дать пользователям на данном ПК право  Local Activation  на  application with CLSID  с  {0C0A3666-30C9-11D0-8F20-00805F2CD064}
     and APPID {9209B1A6-964A-11D0-9372-00A0C9034910} в данном случае это компонент  Machine Debug Manager

    1. Решение для одного компа (необходимо делать локально на ПК)

    А)Идем в настройки Component Service>Component service>....>DCOM Config  находим Machine Debug Manager в свойствах Security>Launch and Activation>Edit мы можем  добавить локальную группу USERS на данном ПК и дать ей право Local Activation 

    Б) Все эти действия вносят изменения в реестре ключ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{9209B1A6-964A-11D0-9372-00A0C9034910}

    2. Как дать право Local Activation  пользователям для всех ПК в домене???? (GPO  и т.д.)

    способ 1.А - не подходит, бегать по всем ПК

    способ 1.Б также не подходит так, как, взяв данное изменения с одного ПК и с помощью group policy preferensec и изменив данный ключ на всех ПК : в итоге на измененных машинах будут неизвестны SID групп (с взятой машины, там группы указываються как локальные -имя машины\Группа, например comp01\USERS)

    Что посоветуете?

    • Изменен тип Vinokurov YuriyModerator 29 июля 2010 г. 11:44 давность и отсутствие активности в теме
    13 июля 2010 г. 10:06

Все ответы

  • на ваших ПК установлен агент администрирования антивируса касперского? Если да - то обновите его до версии 2090 или ищите на форуме касперского утилиту disablenap.

    Эта ошибка связана с неактивным клиентом NAP, которого пытается использовать агент администрирования антивируса касперского.


    Не забывайте отмечать поcты как ответы, а также помечать полезные сообщения!
    13 июля 2010 г. 10:56
  • Как вариант, писать скрипт для группы %COMPUTERNAME%\Users, распространять по GPO.

    Работа с SID: http://technet.microsoft.com/en-us/library/ff730940.aspx

    13 июля 2010 г. 11:03
  • Вот ссылка 
    Dmitriy Poberezhniy ( my web blog http://dimsan.blogspot.com )
    13 июля 2010 г. 11:13
    Отвечающий
  • Клиент  NAP отключен - эта ошибка заранее была исключена (с помощью group policy preferensec  ).

    И если Вы не в курсе то с агентом NAP связана ошибка, которая ссылается на

     CLSID {24FF4FDC-1D9F-4195-8C79-0DA39248FF48}

     

    PS:И так делать некрасиво выставлять, ответ как решение (решение определяет человек, который задал вопрос). 

    Кстати ОС клиентов  Windows 7 Enterprise, домен 2008

    По поводу powershell посмотрю, но то,  что Вы указали это создание пользователя, немного не то. Но всеравно спасибо!!!

      

     

    13 июля 2010 г. 11:39
  • PS:И так делать некрасиво выставлять, ответ как решение (решение определяет человек, который задал вопрос).  
    Человек который задал вопрос и отмечает ответ - "Помечено в качестве ответа". "Преложено в качестве ответа" -  это не "Помечено в качестве ответа....".
    Dmitriy Poberezhniy ( my web blog http://dimsan.blogspot.com )
    13 июля 2010 г. 11:52
    Отвечающий
  • PS:И так делать некрасиво выставлять, ответ как решение (решение определяет человек, который задал вопрос).  
    Человек который задал вопрос и отмечает ответ - "Помечено в качестве ответа". "Преложено в качестве ответа" -  это не "Помечено в качестве ответа....".
    Dmitriy Poberezhniy ( my web blog http://dimsan.blogspot.com )

    Текст не по заданному вопросу...
    14 июля 2010 г. 7:52
  • SID встроенных групп пользователей, насколько я помню, универсален и един для всех (см. Well-known SIDs). Учитывая это, можно дать права на запуск такой встроенной группе, (к примеру, "Прошедшие проверку"), после чего спокойно распространять измененную ветку реестра по всем компьютерам домена любым удобным способом. Встречается совет: перед распостранением такого ключа реестра удалитЬ из файла экспортированного ключа строки "LocalService" и "ServiceParameters", и только после этой процедуры распространять по компьютерам. Сам не проверял, так что за этот последний пункт не поручусь.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    15 июля 2010 г. 9:06
    Модератор
  • SID встроенных групп пользователей, насколько я помню, универсален и един для всех (см. Well-known SIDs). Учитывая это, можно дать права на запуск такой встроенной группе, (к примеру, "Прошедшие проверку"), после чего спокойно распространять измененную ветку реестра по всем компьютерам домена любым удобным способом. Встречается совет: перед распостранением такого ключа реестра удалитЬ из файла экспортированного ключа строки "LocalService" и "ServiceParameters", и только после этой процедуры распространять по компьютерам. Сам не проверял, так что за этот последний пункт не поручусь.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html


    Немного изменений по поводу группы, которая на других ПК (при использовании как я описывал метода 1Б) не определяется это группа  Debugger Users, а не группа USERS (как я описывал ранее)

    Странно что вроде бы Sids универсальные для локальных групп на всех ПК, но исходя из данного опыта какой-то глюк, так как локальная группа Debugger Users не определяеться на другом ПК 

    PS: Данное рассуждение не очень хорошее но все же... Интересно если оставить все как есть т.е.  после импорта ключа реестра с эталонного ПК (где были изменены права  для локальной группы USERS на  Local Activation  для Machine Debug Manager  ) на целевой ПК.

    И не обращать внимание что данный ПК не понимает SID  локальной группы  Debugger Users (который был на эталонном компе), то будут ошибки или нет. В группе Debugger Users находиться только один пользователь и он отключен (встроенная учетка админа), может правда что скорей всего вероятней в данную группу на локальном ПК входят какие-то встроенные учетки, и из-за которых будут другие проблемы...  

    15 июля 2010 г. 10:30
  • Да нет, это не глюк. Группа Debugger Users действительно не имеет Well-known SID. SID, начинающиеся с 1-5-21 являются Well-known только в домене с контроллером на базе Server 2008/2008R2, и то далеко не все - в статье, что я вам дал, это описано. А вот за что эту группу так - вопрос интересный.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    15 июля 2010 г. 11:16
    Модератор
  • Да нет, это не глюк. Группа Debugger Users действительно не имеет Well-known SID. SID, начинающиеся с 1-5-21 являются Well-known только в домене с контроллером на базе Server 2008/2008R2, и то далеко не все - в статье, что я вам дал, это описано. А вот за что эту группу так - вопрос интересный.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    У нас  домен с контроллерами на базе Server 2008R2:)
    15 июля 2010 г. 13:33
  • Я же сказал - далеко не все)) Debugger users не имеет Well-known SID вообще. Так что придется использовать другую группу. Ради интереса наберите whoami /groups на двух разных машинах. Группы с Well-known SIDs будут иметь подпись Хорошо известная группа, а Debuger Users - Псевдоним. И SID'ы у них будут абсолютно разными.

    А вообще странно. У меня на рабочей машине в Debugger Users входит только моя учетная запись, доменная - и никаких локальных администраторов.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    19 июля 2010 г. 10:43
    Модератор
  • Уважаемый пользователь!

    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    26 июля 2010 г. 11:23
    Модератор
  • у меня такая же проблема как у alexua, много ПК в домене  и нет возможности все обходить, желательно найти возможность решить данную проблему через груповые политики, вы предлагаете использование скрипта, может есть другой способ или небольшой пример такого скрипта, пожалуйста
    16 марта 2011 г. 14:02
  • у меня такая же проблема как у alexua, много ПК в домене  и нет возможности все обходить, желательно найти возможность решить данную проблему через груповые политики, вы предлагаете использование скрипта, может есть другой способ или небольшой пример такого скрипта, пожалуйста


    Вы тоже используете антивирус Касперского? Если да, то можете распространить скрипт через Kaspersky Administration Kit. А вот и варианты скрипта. Первый для 32-битных систем, второй - для 64-битных:

    reg add HKLM\SOFTWARE\KasperskyLab\Components\34\1103\1.0.0.0\NAP /v "Enable" /t REG_DWORD /d "0" /f

    reg add HKLM\SOFTWARE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\1103\1.0.0.0\NAP /v "Enable" /t REG_DWORD /d "0" /f

    16 марта 2011 г. 16:51
  • нет касперского нету для чистого эксперемента удалил тот антивирус который был на данный момент у клиента, ошибка появляется.
    18 марта 2011 г. 12:00
  • Тогда по GUID-ам из EventLog-а нужно сначала определить к кому они относятся. Я обычно делаю поиск GUID по реестру и по содержимому веток пытаюсь определить виновника ошибок. Можете попробовать поискать информацию о GUID-е через какой-нибудь Интернет-поисковик.

    18 марта 2011 г. 13:14
  • Параметры разрешений для конкретного приложения не дают разрешения Локальный Запуск для приложения COM-сервера с CLSID
    {24FF4FDC-1D9F-4195-8C79-0DA39248FF48}
    и APPID
    {B292921D-AF50-400C-9B75-0C57A7F29BA1}
    пользователю NT AUTHORITY\система с SID (S-1-5-18) и адресом LocalHost (с использованием LRPC). Это разрешение безопасности можно изменить с помощью служебной программы управления службами компонентов.

     

    все предложения касающиеся решения данной ошибки ориентированы для работы на конкретной машине, извесна и служба и контейнер и исполняемый файл, Вопрос почему это происходит данный файл, а вернее всю папку имеющиюся на клиентах записывает сервер SCCM так может неправильные права на безопасность это следствие работы сервера, как это исправить?

    18 марта 2011 г. 13:25
  • И всё-таки, может антивируса Касперского у вас и нет, но его агент администрирования похоже установлен.  А причиной проблем является именно агент. Проверьте, есть ли у вас в процессах klnagent.exe, есть ли в реестре ветки HKLM\SOFTWARE\KasperskyLab или HKLM\SOFTWARE\SOFTWARE\Wow6432Node\KasperskyLab.

    Ещё раз повторяю ссылку на статью http://support.kaspersky.ru/faq/?qid=208637110

    18 марта 2011 г. 17:12
  • та что же вы за человек, на предприятии не используется антивирус касперского, тем более его агент
    18 марта 2011 г. 20:41