خدمة حساب Microsoft غير متوفرة. استكشاف أخطاء Windows وإصلاحها "تعذر تسجيل الدخول إلى الحساب". دعونا نحل مشكلة "تعذر تحميل ملف تعريف المستخدم" بطريقة بسيطة

يعد تلف حساب المستخدم مشكلة شائعة في نظام التشغيل Windows. تحدث المشكلة عند إدخال كلمة مرور أو رقم تعريف شخصي على شاشة القفل وعندما تضغط على إدخال ، ستظهر لك رسالة الخطأ "فشلت خدمة ملف تعريف المستخدم في تسجيل الدخول. يتعذر تحميل ملف تعريف المستخدم" في نظام التشغيل windows 10 أو أن خدمة ملف تعريف المستخدم تمنع تسجيل الدخول في Windows 7..

حل مشكلة "فشل خدمة ملف تعريف المستخدم في تسجيل الدخول" باستخدام محرر التسجيل

الخيار 1: إصلاح ملف تعريف حساب المستخدم

في بعض الأحيان يمكن أن يتلف حسابك وهذا يمنعك من الوصول إلى الملفات في نظام التشغيل windows 10. دعنا ننتقل إلى محرر التسجيل بعدة طرق ، من خلال الوضع الآمن:

الخطوة 1. اضغط على اختصار لوحة المفاتيح " نوافذ + R."لاستدعاء الأمر" تنفيذ "وأدخل الأمر رجديتلدخول التسجيل.

الخطوة 2. في النافذة التي تفتح ، اتبع المسار:

الخطوه 3. في المعلمة سيكون لديك مفاتيح متعددة ق -1-5. ستحتاج إلى تحديد المفتاح الأطول بمجموعة طويلة من الأرقام وحسابك الذي يظهر فيه الخطأ "فشل تسجيل الدخول لخدمة ملف تعريف المستخدم". تأكد من صحة المسار ، انقر فوق المفتاح الطويل ويجب أن يكون هناك اسم في العمود الأيمن ، إذا لم يتم العثور عليه ، ثم قم بالتمرير عبر جميع المفاتيح الطويلة حتى تصادف العمود الأيمن بملف التعريف المكسور ، في حالة الحساب .

الخطوة 4. إذا قمت بإعادة تسمية مجلد ملف تعريف المستخدم C: \ User \ site الخاص بالحساب المتأثر بشكل غير صحيح ، فافتح المستكشف على طول المسار C: \ User \ site وانقر بزر الماوس الأيمن على ملف التعريف المعطل ، حدد إعادة تسميةوأدخل اسم ملف التعريف الصحيح (الموقع) يدويًا. بعد إعادة التسمية ، نعود إلى المجلد في السجل ونرى أن الاسم مكتوب كما في الصورة (الخطوة 3) C: \ User \ website.

انظر الخيارين الخطوة 6 والخطوة 7 اعتمادًا على كيفية القيام بذلك

الخطوة الخامسة. لنقم الآن بخيارين ، إذا كان لدينا مفتاح طويل S-1-5-21-19949 .... - 1001. خبز(في نهاية امتداد .bak) وفي الثانية بدون .bakهؤلاء. فقط S-1-5-21-19949 .... - 1001. اعتمادًا على من لديه ملفين أو ملفين مصطفين.

الخطوة 6. يوجد مفتاح واحد فقط في نهاية c.bak (S-1-5-21-19949 ....- 1001.bak).

• أ) إذا كان لديك مفتاح واحد فقط في نهاية c .bak(S-1-5-21-19949 ....- 1001.bak) ، انقر بزر الماوس الأيمن فوقه وانقر فوق إعادة التسمية. (انظر الصورة أدناه).

• ب) احذف الكلمة نفسها بنقطة .bakللحصول على أرقام فقط. تابع مع الخطوة 8. (انظر الصورة أدناه)

الخطوة 7. إذا كان لديك مفتاحان متطابقان ، أحدهما بدون .bak والآخر يحتوي على .bak. (S-1-5-21-19949 ....- 1001 و S-1-5-21-19949 ....- 1001.bak) .

• أ) في الجزء الأيمن من التسجيل ، انقر بزر الماوس الأيمن فوق المفتاح بدون .bakوأضف نقطة ، حرفين .bk(انظر الصورة أدناه).

• ب) الآن انقر بزر الماوس الأيمن على المفتاح باستخدام .bak، تحديد إعادة تسميةوحذف .bakبنقطة. (انظر الصورة أدناه).

• ج) عد الآن وأعد تسمية المفتاح الأول بـ .bkفي .bak. اضغط على Enter واتبع الخطوة 8.

الخطوة 8. قم بتمييز المفتاح الذي تمت إعادة تسميته بدونه .bakوباستخدام اليمين في العمود ، انقر نقرًا مزدوجًا لفتح إعدادات المعلمة ، وتعيين قيمة 0. إذا لم يكن لديك مثل هذه المعلمة ، فانقر بزر الماوس الأيمن فوق حقل فارغ باستخدام زر الماوس الأيمن وقم بإنشاء DWORD (32 بت) ، أعد تسميتها إلى RefCount واضبط القيمة على 0.

الخطوة 9. في الحقل الأيمن ، حدد المفتاح بدون .bakوفي المعلمة حالةاضبط القيمة على 0. إذا لم يكن هناك مثل هذه المعلمة ، فانقر فوق الحقل الفارغ على اليمين وانقر فوق إنشاء DWORD (32 بت) ، وأعد تسميته إلى حالةواضبط القيمة على 0.

الخطوة 10. أعد تشغيل الكمبيوتر وسيختفي الخطأ "فشلت خدمة ملف تعريف المستخدم في تسجيل الدخول" و "يتعذر تحميل ملف تعريف المستخدم" في نظام التشغيل windows 10.

الخيار 2: حذف وإنشاء ملف تعريف مستخدم جديد للحساب

سيؤدي هذا الخيار إلى حذف ملف تعريف المستخدم وستفقد جميع إعدادات حسابك وتخصيصه.

الخطوة 1. إذا كان هناك حساب مسؤول آخر لا يحتوي على الخطأ ، فقم بتسجيل الخروج من الحساب الحالي (على سبيل المثال: الموقع) وقم بتسجيل الدخول إلى حساب المسؤول.

إذا لم يكن لديك حساب مسؤول آخر لتسجيل الدخول ، فيمكنك القيام بأحد الخيارات التالية أدناه لتمكين حساب المسؤول المضمن لتسجيل الدخول والتخطي إلى الخطوة 2 أدناه.

• لكن). قم بالتمهيد إلى الوضع الآمن ، وقم بتمكين المسؤول المضمن ، وقم بتسجيل الخروج وتسجيل الدخول إلى المسؤول.
• ب). افتح نافذة موجه الأوامر عند التمهيد ، وقم بتمكين المسؤول المضمن ، وأعد تشغيل الكمبيوتر ، وقم بتسجيل الدخول إلى المسؤول.

الخطوة 2. قم بعمل نسخة احتياطية من أي شيء لا تريد أن تفقده في مجلد ملف التعريف C: \ Users \ (اسم المستخدم) (على سبيل المثال: الموقع) لحساب المستخدم المعني إلى موقع آخر. عند الانتهاء ، احذف المجلد C: \ Users \ (username).

الخطوه 3. اضغط على أزرار windows + R لفتح مربع الحوار Run ، واكتب regedit وانقر فوق OK.

الخطوة 4. في محرر التسجيل ، انتقل إلى الموقع أدناه.

• HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ ProfileList

الخطوة الخامسة. في الجزء الأيمن ، في ProfileList ، انقر فوق المفتاح الطويل الذي فشل فيه الحساب. الملف الشخصي مرئي على اليمين.

الخطوة 6. حذف ملفات التعريف التي تحتوي على .bak وبدون أخطاء .bak. علي سبيل المثال ( S-1-5-21-19949 ....- 1001 و S-1-5-21-19949 ....- 1001.bak)-حذف.

الخطوة 7. أغلق محرر التسجيل وأعد تشغيل الكمبيوتر ، وبعد ذلك سيعيد إنشاء المستخدم الجديد تلقائيًا.

دعونا نحل مشكلة "تعذر تحميل ملف تعريف المستخدم" بطريقة بسيطة

طريقة 1. هذه الطريقة لا تصلح للجميع لكنها ساعدت الكثيرين. حاول نسخ المستندات الموجودة في المجلد (C: \ Users \) إلى موقع آخر لإنشاء نسخة احتياطية في حالة حدوث ذلك. تحدث المشكلة عادةً بسبب تلف ملف "NTUSER.DAT" الموجود في المجلد "C: \ Users \ Default". لحل هذه المشكلة ، تحتاج إلى استبدال ملف "NTUSER.DAT" بملف تعريف آخر. .

1. قم بتسجيل الدخول إلى النظام في الوضع الآمن باستخدام حساب ملف تعريف يعمل.
2. حدد موقع الملف (C: \ Users \ Default) "NTUSER.DAT" وأعد تسمية ملحق .DAT إلى .OLD. يجب أن يكون (NTUSER.OLD).
3. حدد موقع ملف "NTUSER.DAT" في الملف الشخصي للعمل مثل "ضيف" ، "عام". مثال (C: \ Users \ Guest \ NTUSER.DAT).
4. انسخه والصقه في المجلد الافتراضي C: \ Users \ Default.
5. لإعادة تشغيل جهاز الكمبيوتر.

يمكنك نسخ هذا الملف من جهاز كمبيوتر آخر بنفس إصدار النوافذ ولصقه في المسار C: \ Users \ Default.

الطريقة الثانية. يمكنك محاولة استبدال المجلد "C: \ Users \" بأكمله من كمبيوتر آخر.

• خذ محرك أقراص فلاش بتنسيق FAT32 واكتب المجلد C: \ Users \ من كمبيوتر آخر وقم بتحميله على جهاز الكمبيوتر الخاص بك.

إذا كان أي شخص يعرف طريقة أخرى لإصلاح الخطأ ، "تمنع خدمة ملف تعريف المستخدم تسجيل الدخول" بطريقة أخرى ، فاكتب في نموذج "الإبلاغ عن خطأ".

تعد مشكلات تلف ملف تعريف المستخدم من أكثر المشكلات شيوعًا ، وعادةً ما تكون مصحوبة برسائل "يتعذر تسجيل الدخول" و "تم تسجيل دخولك باستخدام ملف تعريف مؤقت". لذلك ، قررنا اليوم أن نخبرك بكيفية ترتيب ملف تعريف المستخدم ، وما الذي يمكن أن يؤدي إلى تلفه ، وما هي الطرق التي يمكن استخدامها لاستعادة التشغيل الطبيعي للنظام.

لنبدأ بالأعراض ، أول علامة على حدوث خطأ ما هي النقش تحضير النوافذعلى شاشة الترحيب بدلاً من أهلا بك.

عندها ستكون "مسرورًا" برسالة "غير قادر على تسجيل الدخول"مع خيارات للدخول مرة أخرى ومواصلة العمل.

إذا أغلقنا هذه النافذة ، فسنرى رسالة أخرى تلقي بعض الضوء على ما يحدث. "لقد قمت بتسجيل الدخول باستخدام ملف تعريف مؤقت".

إذا كان ملف التعريف مؤقتًا ، فقد اتضح أنه لسبب ما لا يمكن تحميل ملف تعريف المستخدم الدائم. لذلك ، لن نجلد الحمى ، لكننا سنحاول معرفة ما هو ملف تعريف المستخدم ، وما هي البيانات التي يحتوي عليها ، وما قد يكون سبب استحالة تحميله.

في أول تقدير تقريبي ، يكون ملف تعريف المستخدم هو محتويات الدليل ج: \ المستخدمون \ الاسم، أين اسم- اسم المستخدم هناك سنرى المجلدات مألوفة للجميع سطح المكتب ، المستندات ، التنزيلات ، الموسيقىإلخ ، بالإضافة إلى مجلد مخفي معلومات التطبيق.

مع الجزء المرئي من ملف التعريف ، كل شيء واضح - هذه مجلدات قياسية لوضع بيانات المستخدم ، بالمناسبة ، يمكننا إعادة تعيينها بأمان إلى أي مكان آخر. في الإصدارات الحديثة من Windows ، يمكنك حتى إعادة تعيين سطح المكتب.

هذا مناسب تمامًا ومبرر ، نظرًا لمقدار المستخدمين الذين يحتفظون بهم على أجهزة سطح المكتب الخاصة بهم ، ونفس محركات الأقراص ذات الحالة الثابتة بعيدة كل البعد عن المطاط. لكن الأمر لا يتعلق بذلك ، والأكثر إثارة للاهتمام هو ما يتم إخفاؤه عن أعين مستخدم بسيط.

مجلد معلومات التطبيقتم تصميمه لتخزين الإعدادات وبيانات المستخدم الخاصة بالبرامج المثبتة ، ويحتوي بدوره على ثلاثة مجلدات أخرى: محلي ، منخفض محليو التجوال.

دعنا نفكر فيها بمزيد من التفصيل:

• التجوال- هذا هو "الضوء" ، وكما يوحي الاسم ، الجزء المتحرك من الملف الشخصي. يحتوي على جميع الإعدادات الأساسية للبرامج وبيئة عمل المستخدم ؛ إذا تم استخدام ملفات التعريف المتجولة على الشبكة ، فسيتم نسخ محتوياتها إلى مورد مشترك ، ثم تحميلها على أي محطة عمل قام المستخدم بتسجيل الدخول إليها.
• محلي- جزء "ثقيل" من ملف التعريف ، يحتوي على ذاكرة تخزين مؤقت وملفات مؤقتة وإعدادات أخرى قابلة للتطبيق فقط على جهاز الكمبيوتر الحالي. يمكن أن تصل إلى حجم كبير ، ولا تتحرك عبر الشبكة.
• منخفضة المحلية- بيانات محلية منخفضة التكامل. في هذه الحالة ، لدينا مرة أخرى ترجمة غير ناجحة للمصطلح انخفاض مستوى السلامة، في الواقع تعد مستويات السلامة مجرد آلية أمان أخرى. بدون الخوض في التفاصيل ، يمكننا القول أن بيانات وعمليات النظام تتمتع بسلامة عالية ، ومعيار - مستخدم ، ومنخفض - يحتمل أن تكون خطرة. إذا نظرنا إلى هذا المجلد ، فسنرى هناك بيانات متعلقة بالمتصفحات ، ومشغل الفلاش ، وما إلى ذلك. المنطق هنا بسيط - في حالة حدوث أي طارئ أو هجوم ، لن تتمكن العمليات التي يتم إطلاقها من هذا المجلد من الوصول إلى بيانات المستخدم.

والآن حان الوقت للتفكير في أي من تلف البيانات المحدد يمكن أن يؤدي إلى مشاكل في تحميل الملف الشخصي؟ ربما لا شيء. لذلك ، يجب أن يكون هناك شيء آخر في الملف الشخصي. بالطبع هو كذلك ، وإذا نظرت عن كثب إلى لقطة شاشة ملف تعريف المستخدم أعلاه ، فسنرى الملف هناك NTUSER.DAT. إذا قمت بتمكين العرض ملفات النظام المحمية، ثم سنرى مجموعة كاملة من الملفات ذات الأسماء المتشابهة.

هنا وصلنا إلى النقطة. في ملف NTUSER.DATهناك فرع التسجيل HKEY_CURRENT_USERلكل مستخدم. والضرر الذي لحق بفرع التسجيل هو الذي يجعل من المستحيل تحميل ملف تعريف المستخدم. لكن ليس كل شيء سيئًا كما قد يبدو للوهلة الأولى. التسجيل محمي بشكل جيد من الأعطال المحتملة.

الملفات ntuser.dat.LOGيحتوي على سجل بتغييرات التسجيل منذ آخر تمهيد ناجح ، مما يجعل من الممكن التراجع في حالة حدوث أي مشاكل. الملفات ذات الامتداد regtrans- مللي ثانيةعبارة عن سجل معاملات يسمح لك بالاحتفاظ بفرع السجل بشكل متسق في حالة التوقف المفاجئ للعمل أثناء إجراء تغييرات على السجل. في هذه الحالة ، سيتم إرجاع جميع المعاملات المعلقة تلقائيًا.

الملفات الأقل أهمية blf- هذا هو سجل النسخ الاحتياطي لفرع التسجيل ، على سبيل المثال ، بأداة عادية استعادة النظام.

وبالتالي ، بعد اكتشاف ما يتكون منه ملف تعريف المستخدم والضرر الذي يلحق بأي جزء منه يجعل من المستحيل التمهيد ، سننظر في طرق لاستعادة النظام.

الطريقة الأولى: إصلاح مشكلة ملف تعريف المستخدم

بادئ ذي بدء ، إذا كنت تواجه مشكلات في تسجيل الدخول إلى حسابك ، فيجب عليك التحقق من حجم النظام بحثًا عن أخطاء ، وللقيام بذلك ، قم بالتمهيد في وحدة التحكم في الاسترداد أو Windows PE وتشغيل الأمر:

Chkdsk ج: / f

في بعض الحالات ، قد يكون هذا كافيًا ، لكننا سننظر في أسوأ الحالات. بعد فحص القرص ، قم بالتمهيد في النظام وافتح محرر التسجيل ، وانتقل إلى الفرع

على اليسار سنرى عددًا من الأقسام مع اسم النوع S-1-5و "ذيل" طويل يتوافق مع ملفات تعريف المستخدمين. لتحديد أي ملف تعريف ينتمي إلى أي مستخدم ، انتبه إلى المفتاح ProfileImagePathعلى اليمين:

لذلك ، تم العثور على الملف الشخصي المطلوب ، والآن ننظر مرة أخرى إلى الشجرة الموجودة على اليسار ، والتي يجب أن تحتوي على فرعين ، أحدهما ينتهي بـ خبز.

مهمتنا الآن هي إعادة تسمية ملف التعريف الرئيسي إلى خبز، أ خبزرئيسيا. للقيام بذلك ، أضف أي امتداد إلى ملف التعريف الرئيسي ، على سبيل المثال .ba، ثم إعادة تسمية ملف تعريف النسخ الاحتياطي إلى الملف الشخصي الرئيسي ، وإزالة من اسمه .bak، وإعادة التسمية مرة أخرى بافي خبز.

بالمناسبة ، قد تكون هناك مواقف لا يوجد فيها سوى فرع لحسابك خبز، في هذه الحالة فقط قم بإزالة امتداده.

ثم نجد مفتاحين في ملف التعريف الرئيسي الجديد RefCountو حالةوضبط كلاهما على الصفر.

نحن نعيد التشغيل. في معظم الحالات ، إذا لم يتضرر ملف التعريف بشكل خطير ، ستنجح هذه الخطوات ، وإلا انتقل إلى الطريقة الثانية.

الطريقة الثانية: قم بإنشاء ملف تعريف جديد وانسخ بيانات المستخدم هناك

تنصح وثائق Microsoft الرسمية في هذه الحالة بإنشاء حساب جديد ونسخ بيانات الملف الشخصي هناك. لكن هذا النهج يؤدي إلى مجموعة كاملة من المشكلات ، نظرًا لأن المستخدم الجديد هو موضوع أمان جديد ، وبالتالي ، فإننا نواجه على الفور مشكلة في حقوق الوصول ، بالإضافة إلى ذلك ، سنحتاج إلى إعادة توصيل جميع حسابات الشبكة ، وإعادة الاستيراد الشهادات الشخصية وبريد التصدير والاستيراد (إذا كنت تستخدم Outlook). بشكل عام ، سيكون هناك ترفيه كافٍ وليس حقيقة أنه يمكن التغلب على جميع المشكلات بنجاح.

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ ProfileList

وحذف جميع الفروع المتعلقة بملفك الشخصي. نحن نعيد التشغيل.

بعد ذلك ، سيقوم Windows بإنشاء ملف تعريف جديد لحسابك ، كما لو كنت تقوم بتسجيل الدخول لأول مرة. لكن معرف الأمان الخاص بك (SID) سيبقى بدون تغيير ، وستكون مرة أخرى مالكًا لجميع العناصر والشهادات الخاصة بك ، وما إلى ذلك ، وما إلى ذلك.

لمزيد من الإجراءات ، ستحتاج إلى حساب آخر له حقوق المسؤول ، فلنقم بإنشائه ، وفي حالتنا يكون حسابًا مؤقت.

بعد ذلك ، نغادر حسابنا الرئيسي (أو نعيد التشغيل) وندخل الحساب الفرعي. مهمتنا هي نسخ جميع محتويات مجلد ملف التعريف القديم ، باستثناء ملفات NTUSER ، إلى المجلد الجديد. لهذه الأغراض ، من الأفضل استخدام مدير ملفات (Total Commander ، Far ، إلخ) يتم تشغيله بحقوق المسؤول.

في نهاية عملية النسخ ، نقوم بتسجيل الدخول إلى حسابنا مرة أخرى والتحقق من تشغيل الحساب. يجب إعادة جميع البيانات والإعدادات إلى مكانها. ومع ذلك ، لا تتسرع في حذف المجلد القديم والحساب الإضافي ، فقد تحتاج إلى نقل بعض البيانات مرة أخرى. قد يكون هذا بسبب حقيقة أن بعض البرامج التي تخزن الإعدادات في فرع تسجيل تالف قد تقرر أن التثبيت الجديد قد اكتمل والكتابة فوق الملفات المنقولة ، وفي هذه الحالة يكفي نسخ البيانات الضرورية بشكل انتقائي.

بعد العمل مع النظام لفترة من الوقت والتأكد من أن كل شيء في مكانه ويعمل كما ينبغي ، يمكنك حذف المجلد القديم والحساب الإضافي.

• العلامات:

كما تعلم ، تعد خدمات Windows واحدة من أكثر الأماكن المفضلة للهجمات على نظام التشغيل. في أسوأ الحالات (بالنسبة لنا ، بالطبع) ، يحصل المهاجم على فرصة للتصرف على الكمبيوتر المهاجم في سياق الحساب الذي تعمل بموجبه الخدمة المخترقة. وإذا كان لهذا الحساب حقوق إدارية ، فإن المهاجم في الواقع يتحكم بشكل كامل في الكمبيوتر. من إصدار إلى إصدار في Windows ، تظهر آليات جديدة توفر عزلًا إضافيًا للخدمات ، ونتيجة لذلك ، تعزز أمان النظام ككل. أود أن أفكر بإيجاز فيما تغير جذرياً في هذا الاتجاه خلال السنوات القليلة الماضية.

ظهرت التغييرات المهمة الأولى في آليات حماية الخدمات في Windows XP Service Pack 2. من الصعب تخيل ذلك الآن ، ولكن قبل إصدار SP2 ، كانت جميع خدمات نظام التشغيل نفسه تعمل في سياق حساب النظام المحلي المدمج ، الذي يتمتع بحقوق إدارية كاملة على الكمبيوتر. أضافت SP2 إدخالين آخرين: الخدمة المحلية وخدمة الشبكة. يمكن العثور على الاختلافات الأساسية بين السجلات الثلاثة المدرجة في الجدول. واحد.

الجدول 1

وفقًا لذلك ، بدءًا من Windows XP SP2 ، يمكن للمسؤول تكوين الخدمة للتشغيل في سياق أحد الحسابات المضمنة أو حساب محلي أو حساب مجال. ومع ذلك ، لا تزال معظم خدمات Windows نفسها تعمل في سياق النظام المحلي. ولكن بصرف النظر عن هذا ، فإن الموقف الذي يتم فيه تشغيل العديد من الخدمات في سياق نفس الحساب يؤدي إلى حقيقة أن هجومًا ناجحًا على خدمة واحدة ، حتى بدون امتيازات إدارية ، من المحتمل أن يعرض أي موارد أخرى يمكن للمهاجم الوصول إليها. حساب الخدمة.

قدم نظام التشغيل Windows Vista عدة آليات لزيادة عزل الخدمة. سأتوقف عند الثانية.
الآلية الأولى هي معرف الأمان الفريد للخدمة (Service SID). يتم إنشاء SID هذا لكل خدمة عن طريق تجزئة اسم الخدمة باستخدام خوارزمية SHA-1. تكون النتيجة مسبوقة بـ S-1-5-80-. يمكنك عرض معرّف الأمان (SID) الخاص بإحدى الخدمات باستخدام الأمر sc showid مع اسم الخدمة كمعامل (انظر الشكل 1).
أرز. واحد

يمكنك تجربة ، على سبيل المثال ، خدمة W32Time. بالنسبة لأي مجلد على NTFS في إعدادات الأذونات (الأذونات) ، ما عليك سوى إدخال اسم المستخدم بالتنسيق NT SERVICE \<имя службы>، في حالتنا NT SERVICE \ w32time (انظر الشكل 2).

أرز. 2

انقر فوق التحقق من الأسماء ، ثم موافق وانظر إلى المستخدم (انظر الشكل 3) ، والذي يمكن تخصيص الحقوق له.

أرز. 3

مرة أخرى ، w32time ليس كائن مستخدم. هذا هو معرف الأمان ، ولكن إذا كان الأمر كذلك ، فيمكن استخدامه في قوائم التحكم في الوصول ، سواء في الواجهة الرسومية أو في سطر الأوامر أو برمجيًا. علاوة على ذلك ، يمكن استخدام معرفات الأمان الخاصة بالخدمة في إعدادات جدار حماية Windows ، وتطبيق قواعد معينة على خدمة معينة ، أو بالأحرى معرف خدمة SID محدد.

التغيير الثاني الذي تم تقديمه في Vista هو نوع جديد من SID ، معرف SID المقيد للكتابة. إذا تم وضع علامة على الخدمة بنوع SID المقيد للكتابة ، فسيتم إضافة SID الخاص بها في رمز الوصول الخاص بها إلى قائمة خاصة - قائمة SID المقيدة. عندما تحاول مثل هذه الخدمة كتابة شيء ما إلى ملف ، تتغير خوارزمية التحقق من حقوق الوصول إلى حد ما. وبالتحديد ، لن تتمكن الخدمة من الكتابة إلى ملف إلا إذا تم منح إذن الكتابة صراحةً إلى SID الخاص بالخدمة أو إلى مجموعة Everyone.
على سبيل المثال ، ServiceAccount1 لبعض Service1 هو عضو في Group1. المجموعة 1 والمجموعة 1 فقط لديها إذن كتابة على Folder1. ماذا يحدث إذا حاولت الخدمة تغيير شيء ما في Folder1؟ في ظل الظروف العادية ، سيتمكن ServiceAccount1 من الكتابة إلى المجلد على حساب كونك عضوًا في Group1. ولكن إذا تم وضع علامة على Service1 بنوع SID مقيد الكتابة ، فسيتم التعامل مع رمز الوصول الخاص به بشكل مختلف ولا يمكنه كتابة أي شيء إلى المجلد لأنه لم يتم منحه إذن الكتابة بشكل صريح ، ولم يتم منحه إذن الجميع.
يمكنك عرض نوع SID باستخدام الأمر sc qsidtype (انظر الشكل 4).

أرز. 4

على وجه الخصوص ، في التين. 4 ، يمكنك أن ترى أن خدمة جدار حماية Windows تنتمي إلى النوع المذكور. بطبيعة الحال ، تم تقديم هذا النوع من أجل زيادة الحد من إمكانيات الخدمة (القدرة على محو أو الكتابة فوق شيء ما) في حالة حدوث اختراق ناجح. يجب أيضًا إضافة أن هذه الآلية مخصصة بشكل أساسي ليس لمسؤولي النظام ، ولكن لمطوري الخدمة. فقط لاستخدامه.

في Windows 7 و Windows Server 2008 R2 ، استمر العمل على عزل الخدمة. هناك حسابات افتراضية (حسابات افتراضية) وحسابات خدمة مُدارة (حسابات خدمة مُدارة). وفي الحقيقة ما هي المشكلة؟ نحتاج إلى عزل الخدمات - فلنقم بإنشاء العدد المطلوب من حسابات المستخدمين المحلية (أو المجال). كل خدمة مهمة لها حسابها الخاص. نعم ، هذا هو الحل. ولكن بالنسبة للخدمات المحلية التي لا تحتاج إلى وصول الشبكة إلى الموارد ، يجب عليك تعيين كلمات مرور طويلة ومعقدة يدويًا. وأيضًا تحديثها يدويًا بشكل دوري. حسنًا ، لأننا جميعًا من أجل الأمان. بالنسبة للخدمات التي تحتاج إلى الوصول إلى الموارد عبر الشبكة في سياق حسابات المجال ، بالإضافة إلى أنك تحتاج أيضًا إلى تسجيل اسم الخدمة الرئيسي (SPN) ، والذي يختلف لكل خدمة. إنه غير مريح. لكن الإزعاج يصبح مشكلة حقيقية عندما يتعذر بدء الخدمة بسبب كلمة مرور منتهية الصلاحية. ونسيت المشرف فقط تغيير كلمة المرور الخاصة بها.

لذلك بالنسبة للخدمات المحلية ، يمكنك استخدام الحسابات الافتراضية. يتم استخدام الحساب الظاهري فقط لتشغيل خدمة معينة ، وبشكل أكثر تحديدًا ، لإنشاء سياق أمان لخدمة معينة. لن تجد هذا الإدخال بين المستخدمين في إدارة الكمبيوتر. ومع ذلك ، هذا حساب ، له SID الفريد الخاص به ، مع ملف تعريف المستخدم الخاص به. وبالتالي ، يمكنك تعيين أذونات لها ، وبالتالي التمييز بين حقوق الوصول والتحكم فيها بشكل واضح. ولكن تمامًا كما هو الحال مع النظام المحلي والخدمة المحلية وخدمة الشبكة ، يتولى نظام التشغيل مهام إدارة كلمات المرور للحسابات الافتراضية. نحن نقوم بعزل الخدمات الضرورية ، وليس لدينا مشكلة في كلمات المرور.

لإنشاء حساب افتراضي ، تحتاج إلى التحديد في إعدادات الخدمة كحساب: NT SERVICE \<имя службы>(انظر الشكل 5)

أرز. 5

بعد بدء الخدمة ، سيتم عرض الحساب الافتراضي في وحدة تحكم الخدمات (الشكل 6) ، وفي مجلد المستخدمين ستلاحظ ظهور ملف تعريف مستخدم جديد.
أرز. 6

التنسيق مشابه جدًا لخدمة SID. لكني أؤكد أن هذا ليس مجرد معرف إضافي فريد للخدمة كما في Vista ، إنه حساب منفصل ، وبالتالي مستوى عزل مختلف. بشكل افتراضي ، يتم استخدام الحسابات الافتراضية ، على سبيل المثال ، لتجمعات التطبيقات في IIS 7.5 على Windows Server 2008 R2. ضع في اعتبارك أن الحسابات الافتراضية للاستخدام المحلي. إذا تم الوصول إلى خدمة تعمل في سياق حساب افتراضي عبر الشبكة ، فسيحدث هذا الوصول نيابة عن حساب الكمبيوتر الذي تعمل عليه الخدمة. إذا كان من الضروري أن تعمل خدمة ما ، على سبيل المثال SQL Server ، عبر الشبكة نيابةً عن حساب المجال ، فستساعدك حسابات الخدمة المُدارة هنا. ومع ذلك ، هناك المزيد من التفاصيل الدقيقة المرتبطة بهم ، واعتبارهم خارج نطاق هذا المنشور. تعرف على المزيد حول MSA