سرویس حساب مایکروسافت در دسترس نیست. عیب یابی خطای ویندوز "عدم ورود به حساب کاربری". بیایید مشکل "Unable to load user profile" را به روشی ساده حل کنیم

خرابی حساب کاربری یکی از مشکلات رایج ویندوز است. این مشکل زمانی رخ می‌دهد که رمز عبور یا پین را در صفحه قفل وارد می‌کنید و وقتی enter را فشار می‌دهید، با خطای «سرویس نمایه کاربر موفق به ورود به سیستم نشد. بارگیری نمایه کاربر امکان‌پذیر نیست» در ویندوز 10 دریافت خواهید کرد یا «سرویس نمایه کاربر مانع ورود به سیستم می‌شود». در ویندوز 7. .

با استفاده از ویرایشگر رجیستری مشکل «سرویس نمایه کاربر موفق به ورود نشد» را حل کنید

گزینه 1: اصلاح نمایه حساب کاربری

گاهی اوقات ممکن است حساب شما خراب شود و این مانع از دسترسی شما به فایل‌ها در ویندوز 10 می‌شود. بیایید به چندین روش، از طریق حالت امن، به ویرایشگر رجیستری برویم:

مرحله 1. کلید میانبر را فشار دهید " ویندوز + Rبرای فراخوانی دستور "execute" و وارد کردن دستور regeditبرای ورود به رجیستری

گام 2. در پنجره باز شده مسیر زیر را دنبال کنید:

مرحله 3. در پارامتر شما چندین کلید خواهید داشت s-1-5. باید طولانی ترین کلید را با آرایه طولانی اعداد و حساب خود انتخاب کنید که در آن خطای «سرویس نمایه کاربر موفق به ورود نشد» است. مطمئن شوید که مسیر درست است، روی کلید طولانی کلیک کنید و در ستون سمت راست باید یک نام وجود داشته باشد، اگر پیدا نشد، سپس در تمام کلیدهای طولانی حرکت کنید تا در ستون سمت راست با نمایه شکسته خود، در من روبرو شوید. مورد، حساب .

مرحله 4. اگر به اشتباه نام پوشه نمایه کاربر را به C:\User\site حساب آسیب دیده تغییر دادید، سپس File Explorer را در مسیر C:\User\site باز کنید و روی نمایه شکسته راست کلیک کنید، انتخاب کنید. تغییر نام دهیدو به صورت دستی نام پروفایل (سایت) صحیح را وارد کنید. پس از تغییر نام، به پوشه موجود در رجیستری برمی گردیم و می بینیم که نام مانند تصویر (مرحله 3) C:\User\website نوشته شده است.

بسته به نحوه انجام، دو گزینه مرحله 6 و مرحله 7 را ببینید

مرحله 5. حالا بیایید دو گزینه ایجاد کنیم، اگر یک کلید بلند S-1-5-21-19949....-1001 داریم. پختن(در انتهای پسوند .bak) و با دومی بدون .باکآن ها فقط S-1-5-21-19949....-1001. بسته به اینکه چه کسی دو یا یک پروفایل ردیف شده دارد.

مرحله 6. فقط یک کلید در انتهای c.bak وجود دارد (S-1-5-21-19949....-1001.bak).

• الف) اگر در پایان ج فقط یک کلید دارید .باک(S-1-5-21-19949....-1001.bak)، روی آن کلیک راست کرده و تغییر نام را کلیک کنید. (تصویر زیر را ببینید).

• ب) خود کلمه را با یک نقطه حذف کنید .باکبرای بدست آوردن فقط اعداد مرحله 8 را ادامه دهید. (تصویر زیر را ببینید)

مرحله 7. اگر دو کلید یکسان دارید، یکی بدون .bak، دیگری با .bak. (S-1-5-21-19949....-1001 و S-1-5-21-19949....-1001.bak) .

• الف) در قسمت سمت چپ رجیستری، روی کلید بدون کلیک راست کنید .باکو یک نقطه، دو حرف اضافه کنید .bk(تصویر زیر را ببینید).

• ب) حالا روی کلید with راست کلیک کنید .باک، انتخاب کنید تغییر نام دهیدو حذف کنید .باکبا یک نقطه (تصویر زیر را ببینید).

• ج) اکنون به عقب برگردید و نام کلید اول را با آن تغییر دهید .bkکه در .باک. Enter را فشار دهید و مرحله 8 را دنبال کنید.

مرحله 8. کلیدی را که بدون آن تغییر نام داده شده برجسته کنید .باکو با سمت راست در ستون، دوبار کلیک کنید تا تنظیمات پارامتر باز شود و مقدار 0 را تعیین کنید. اگر چنین پارامتری ندارید، با دکمه سمت راست ماوس روی یک قسمت خالی کلیک راست کرده و یک DWORD ایجاد کنید. مقدار (32 بیتی)، آن را به RefCount تغییر نام دهید و مقدار را 0 قرار دهید.

مرحله 9. در قسمت سمت راست، کلید بدون را انتخاب کنید .باکو در پارامتر دولتمقدار را روی 0 قرار دهید. اگر چنین پارامتری وجود ندارد، روی فیلد خالی سمت راست کلیک کنید و روی ایجاد DWORD (32 بیتی) کلیک کنید، نام آن را تغییر دهید. دولتو مقدار را 0 قرار دهید.

مرحله 10. رایانه خود را مجدداً راه اندازی کنید و خطای «سرویس نمایه کاربر موفق به ورود نشد» و «نمی‌توان نمایه کاربر را بارگیری کرد» در ویندوز 10 برطرف شود.

گزینه 2: حذف و ایجاد پروفایل کاربری جدید برای حساب کاربری

این گزینه پروفایل کاربری را حذف می کند و تمام تنظیمات و شخصی سازی حساب خود را از دست خواهید داد.

مرحله 1. اگر اکانت مدیریت دیگری وجود دارد که خطا ندارد، از حساب جاری (به عنوان مثال: سایت) خارج شوید و وارد حساب کاربری مدیریت شوید.

اگر حساب کاربری دیگری برای ورود به سیستم ندارید، می‌توانید یکی از گزینه‌های زیر را انجام دهید تا حساب مدیریت داخلی برای ورود به سیستم فعال شود و به مرحله 2 زیر بروید.

• ولی). به حالت امن بوت شوید، Administrator داخلی را فعال کنید، از سیستم خارج شوید و وارد Administrator شوید.
• ب). یک پنجره خط فرمان در هنگام بوت باز کنید، مدیر داخلی را فعال کنید، کامپیوتر خود را مجددا راه اندازی کنید و وارد Administrator شوید.

گام 2. از هر چیزی که نمی‌خواهید در پوشه نمایه C:\Users\(username) (مثلا: سایت) حساب کاربری مربوطه از دست بدهید، در مکان دیگری نسخه پشتیبان تهیه کنید. پس از اتمام، پوشه C:\Users\(username) را حذف کنید.

مرحله 3. دکمه های windows + R را فشار دهید تا کادر محاوره ای Run باز شود، regedit را تایپ کرده و OK کنید.

مرحله 4. در ویرایشگر رجیستری، به مکان زیر بروید.

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

مرحله 5. در قسمت سمت چپ، در ProfileList، روی کلید طولانی که حساب در آن شکست خورده کلیک کنید. نمایه در سمت راست قابل مشاهده است.

مرحله 6. حذف نمایه‌های دارای .bak و بدون خطای bak. مثلا ( S-1-5-21-19949....-1001 و S-1-5-21-19949....-1001.bak)-حذف.

مرحله 7. ویرایشگر رجیستری را ببندید و رایانه خود را مجدداً راه اندازی کنید، پس از آن به طور خودکار کاربر جدید را دوباره ایجاد می کند.

بیایید مشکل "Unable to load user profile" را به روشی ساده حل کنیم

روش 1. این روش برای همه کار نمی کند، اما به بسیاری کمک کرد. سعی کنید اسناد خود را در پوشه (C:\Users\) در مکان دیگری کپی کنید تا در هر صورت یک نسخه پشتیبان ایجاد کنید. این مشکل معمولاً به دلیل خرابی در فایل "NTUSER.DAT" واقع در پوشه "C:\Users\Default" رخ می دهد. برای حل این مشکل باید فایل "NTUSER.DAT" را با پروفایل دیگری جایگزین کنید. .

1. با یک حساب کاربری که کار می کند، در حالت ایمن وارد سیستم شوید.
2. فایل (C:\Users\Default) "NTUSER.DAT" را پیدا کنید و پسوند .DAT را به .OLD تغییر نام دهید. باید (NTUSER.OLD) باشد.
3. فایل "NTUSER.DAT" را در نمایه کاری مانند "Guest"، "General" پیدا کنید. مثال (C:\Users\Guest\NTUSER.DAT).
4. آن را کپی کرده و در پوشه پیش فرض C:\Users\Default قرار دهید.
5. برای راه اندازی مجدد کامپیوتر

می توانید این فایل را از رایانه دیگری با همان نسخه ویندوز کپی کرده و در مسیر C:\Users\Default خود قرار دهید.

روش 2. می‌توانید کل پوشه «C:\Users» را از رایانه دیگری جایگزین کنید.

• یک فلش درایو با فرمت FAT32 بردارید و پوشه C:\Users\ را از رایانه دیگری یادداشت کنید و آن را در رایانه خود آپلود کنید.

اگر کسی می داند چگونه خطا را برطرف کند، "سرویس نمایه کاربر مانع ورود به سیستم می شود" با روش دیگری، در فرم "گزارش یک اشکال" بنویسید.

مشکلات خرابی نمایه کاربر یکی از رایج‌ترین موارد است که معمولاً با پیام‌های «ورود به سیستم امکان‌پذیر نیست» و «شما با نمایه موقت وارد شده‌اید» همراه است. بنابراین، امروز تصمیم گرفتیم به شما بگوییم که نمایه کاربر چگونه تنظیم شده است، چه چیزی می تواند منجر به آسیب آن شود و از چه روش هایی می توان برای بازگرداندن عملکرد عادی سیستم استفاده کرد.

بیایید با علائم شروع کنیم، اولین علامتی که نشان می دهد مشکلی پیش آمده کتیبه است آماده سازی ویندوزدر صفحه خوش آمدگویی به جای خوش آمدی.

سپس با یک پیام "راضی" خواهید شد "نمی توان به سیستم وارد شد"با گزینه هایی برای ورود مجدد و ادامه کار.

اگر این پنجره را ببندیم، پیام دیگری را خواهیم دید که تا حدودی آنچه را که در حال رخ دادن است روشن می کند. "شما با یک نمایه موقت وارد شده اید".

اگر نمایه موقتی باشد، معلوم می شود که به دلایلی نمایه کاربر دائمی بارگیری نمی شود. بنابراین، ما تب را شلاق نمی زنیم، بلکه سعی می کنیم بفهمیم که نمایه کاربر چیست، چه داده هایی دارد و دلیل عدم امکان بارگیری آن چیست.

در اولین تقریب، نمایه کاربر محتویات دایرکتوری است ج:\کاربران\نام، جایی که نام- نام کاربری، در آنجا پوشه هایی را خواهیم دید که برای همه آشنا هستند دسکتاپ، اسناد، دانلودها، موسیقیو غیره، و همچنین یک پوشه مخفی اطلاعات برنامه.

با قسمت قابل مشاهده نمایه، همه چیز واضح است - اینها پوشه های استاندارد برای قرار دادن داده های کاربر هستند، به هر حال، ما می توانیم با خیال راحت آنها را به هر مکان دیگری اختصاص دهیم. در نسخه های اخیر ویندوز، حتی می توانید دسکتاپ را مجدداً اختصاص دهید.

این بسیار راحت و قابل توجیه است، با توجه به اینکه کاربران چقدر روی دسکتاپ خود نگهداری می کنند، و همان SSD ها از لاستیک دور هستند. اما این در مورد آن نیست، چیز بسیار جالب تر این است که از چشم یک کاربر ساده پنهان است.

پوشه اطلاعات برنامهبرای ذخیره تنظیمات و داده های کاربر برنامه های نصب شده طراحی شده است و به نوبه خود شامل سه پوشه دیگر است: محلی، محلی کمو رومینگ.

بیایید آنها را با جزئیات بیشتر در نظر بگیریم:

• رومینگ- این "نور" و همانطور که از نام آن پیداست، قسمت متحرک پروفایل است. این شامل تمام تنظیمات اولیه برای برنامه ها و محیط کار کاربر است؛ اگر از پروفایل های رومینگ در شبکه استفاده می شود، محتوای آن در یک منبع مشترک کپی می شود و سپس در هر ایستگاه کاری که کاربر در آن وارد شده است بارگذاری می شود.
• محلی- بخش "سنگین" نمایه، حاوی حافظه پنهان، فایل های موقت و سایر تنظیماتی است که فقط برای رایانه فعلی قابل اجرا هستند. می تواند به اندازه قابل توجهی برسد، از طریق شبکه حرکت نمی کند.
• پایین محلی- داده های محلی با یکپارچگی پایین. در این صورت باز هم ترجمه ناموفق این اصطلاح را داریم سطح یکپارچگی پایین، در واقع سطوح یکپارچگی فقط یک مکانیسم امنیتی دیگر است. بدون پرداختن به جزئیات می توان گفت که داده ها و فرآیندهای سیستم دارای یکپارچگی بالا، استاندارد - کاربر، کم - بالقوه خطرناک هستند. اگر به این پوشه نگاه کنیم، اطلاعات مربوط به مرورگرها، فلش پلیر و غیره را در آنجا خواهیم دید. منطق اینجا ساده است - در صورت بروز هر گونه حمله یا اضطراری، فرآیندهای راه اندازی شده از این پوشه به داده های کاربر دسترسی نخواهند داشت.

و اکنون زمان آن است که فکر کنیم کدام یک از خرابی داده های مشخص شده می تواند منجر به مشکلات بارگیری نمایه شود؟ احتمالا هیچ کدام. بنابراین، باید چیز دیگری در پروفایل وجود داشته باشد. البته اینطور است و اگر به اسکرین شات نمایه کاربری بالا دقت کنید، فایل را در آنجا خواهیم دید NTUSER.DAT. اگر نمایش را فعال کنید فایل های سیستم محافظت شده، سپس مجموعه کاملی از فایل ها را با نام های مشابه خواهیم دید.

اینجا به اصل مطلب رسیدیم. در پرونده NTUSER.DATشعبه رجیستری وجود دارد HKEY_CURRENT_USERبرای هر کاربر و این آسیب به شعبه رجیستری است که بارگذاری پروفایل کاربر را غیرممکن می کند. اما همه چیز آنقدر بد نیست که در نگاه اول به نظر می رسد. رجیستری به خوبی از خرابی های احتمالی محافظت می شود.

فایل ها ntuser.dat.LOGحاوی گزارشی از تغییرات رجیستری از آخرین راه‌اندازی موفقیت‌آمیز است که امکان بازگشت در صورت بروز هر گونه مشکل را فراهم می‌کند. فایل های با پسوند regtrans-msیک گزارش تراکنش است که به شما امکان می دهد در صورت توقف ناگهانی کار در حین ایجاد تغییرات در رجیستری، شعبه رجیستری را به شکل ثابتی نگه دارید. در این صورت، تمام تراکنش های معلق به طور خودکار برگشت داده می شوند.

فایل هایی با کمترین علاقه blf- این یک گزارش پشتیبان گیری شعبه رجیستری است، به عنوان مثال، با یک ابزار معمولی بازگرداندن سیستم.

بنابراین، پس از فهمیدن اینکه نمایه کاربر از چه چیزی تشکیل شده است و آسیب به کدام قسمت از آن باعث می شود راه اندازی نشود، راه هایی را برای بازیابی سیستم در نظر خواهیم گرفت.

روش 1: مشکل نمایه کاربر را برطرف کنید

اول از همه، اگر مشکلی در ورود به حساب خود دارید، باید حجم سیستم را از نظر خطا بررسی کنید، برای انجام این کار، در کنسول بازیابی یا Windows PE بوت شده و دستور را اجرا کنید:

Chkdsk c: /f

در برخی موارد، این ممکن است کافی باشد، اما ما بدترین حالت را در نظر خواهیم گرفت. پس از بررسی دیسک، سیستم را بوت کنید و ویرایشگر رجیستری را باز کنید، به شعبه بروید

در سمت چپ تعدادی بخش با نام نوع مشاهده خواهیم کرد S-1-5و یک "دم" بلند که با پروفایل های کاربر مطابقت دارد. برای اینکه مشخص کنید کدام پروفایل متعلق به کدام کاربر است، به کلید توجه کنید ProfileImagePathسمت راست:

بنابراین، پروفایل مورد نظر پیدا شد، اکنون دوباره به درخت سمت چپ نگاه می کنیم که باید دارای دو شاخه باشد که یکی از آنها به پایان می رسد. پختن.

اکنون وظیفه ما این است که نام نمایه اصلی را به پختن، آ پختندر اصل برای انجام این کار، مثلاً هر پسوندی را به نمایه اصلی اضافه کنید .ba، سپس نام نمایه پشتیبان را به نمایه اصلی تغییر دهید و از نام آن حذف کنید .باک، و دوباره نام خود را تغییر دهید baکه در پختن.

به هر حال، ممکن است شرایطی وجود داشته باشد که فقط یک شعبه برای حساب شما وجود داشته باشد پختن، در این صورت فقط پسوند آن را حذف کنید.

سپس دو کلید در پروفایل اصلی جدید پیدا می کنیم RefCountو دولتو هر دو را صفر کنید.

راه اندازی مجدد می کنیم. در اکثر مواقع اگر پروفیل آسیب جدی نبیند این مراحل با موفقیت انجام می شود در غیر این صورت به روش ۲ بروید.

روش 2. یک نمایه جدید ایجاد کنید و داده های کاربر را در آنجا کپی کنید

اسناد رسمی مایکروسافت در این مورد توصیه می کند که یک حساب کاربری جدید ایجاد کنید و داده های نمایه را در آنجا کپی کنید. اما این رویکرد باعث ایجاد طیف وسیعی از مشکلات می شود، زیرا یک کاربر جدید یک موضوع امنیتی جدید است، و بنابراین، ما بلافاصله با حقوق دسترسی با مشکل مواجه می شویم، علاوه بر این، ما نیاز به اتصال مجدد همه حساب های شبکه، واردات مجدد داریم. گواهینامه های شخصی و ایمیل صادرات-واردات (اگر از Outlook استفاده می کنید). به طور کلی، سرگرمی به اندازه کافی وجود خواهد داشت و این یک واقعیت نیست که بتوان بر همه مشکلات با موفقیت غلبه کرد.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

و تمام شاخه های مربوط به پروفایل خود را حذف کنید. راه اندازی مجدد می کنیم.

پس از آن، ویندوز یک نمایه جدید برای حساب کاربری شما ایجاد می کند، انگار برای اولین بار وارد سیستم می شوید. اما شناسه امنیتی شما (SID) بدون تغییر باقی می ماند، شما دوباره مالک تمام اشیاء، گواهی ها و غیره و غیره خود خواهید بود.

برای اقدامات بیشتر، به حساب دیگری با حقوق سرپرست نیاز دارید، بیایید آن را ایجاد کنیم، در مورد ما این یک حساب است دما.

پس از آن، از حساب اصلی خود خارج می شویم (یا راه اندازی مجدد) و وارد اکانت فرعی می شویم. وظیفه ما این است که تمام محتویات پوشه پروفایل قدیمی به جز فایل های NTUSER را در پوشه جدید کپی کنیم. برای این منظور، بهتر است از یک فایل منیجر (Total Commander، Far و غیره) که با حقوق مدیر راه اندازی شده است استفاده کنید.

در پایان فرآیند کپی، دوباره وارد حساب کاربری خود می شویم و عملکرد اکانت را بررسی می کنیم. همه داده ها و تنظیمات باید به جای خود بازگردند. با این حال، برای حذف پوشه قدیمی و حساب اضافی عجله نکنید، ممکن است نیاز به انتقال مجدد برخی از داده ها باشد. این ممکن است به این دلیل باشد که برخی از برنامه هایی که تنظیمات را در یک شاخه رجیستری آسیب دیده ذخیره می کنند ممکن است تصمیم بگیرند که نصب جدید تکمیل شده است و فایل های منتقل شده را بازنویسی کنند، در این صورت کافی است به طور انتخابی داده های لازم را کپی کنید.

بعد از اینکه مدتی با سیستم کار کردید و مطمئن شدید که همه چیز سر جای خود است و همانطور که باید کار می کند، می توانید پوشه قدیمی و حساب اضافی را حذف کنید.

• برچسب ها:

همانطور که می دانید سرویس های ویندوز یکی از محبوب ترین مکان ها برای حمله به سیستم عامل هستند. در بدترین حالت (البته برای ما)، مهاجم این فرصت را پیدا می‌کند که بر روی رایانه مورد حمله در چارچوب حسابی که سرویس هک شده تحت آن اجرا می‌شود، اقدام کند. و اگر این حساب دارای حقوق اداری باشد، در واقع مهاجم کنترل کامل رایانه را در اختیار می گیرد. از نسخه ای به نسخه دیگر در ویندوز، مکانیسم های جدیدی ظاهر می شود که جداسازی اضافی خدمات را فراهم می کند و در نتیجه امنیت سیستم را به طور کلی تقویت می کند. من می خواهم به طور خلاصه به آنچه در این راستا طی چند سال گذشته تغییر اساسی کرده است توجه کنم.

اولین تغییرات قابل توجه در مکانیسم های حفاظتی سرویس ها در Windows XP Service Pack 2 ظاهر شد. اکنون تصور کردن آن سخت است، اما قبل از انتشار SP2، تمام سرویس های خود سیستم عامل در چارچوب حساب داخلی Local System اجرا می شد. ، که کامل ترین حقوق اداری را بر روی کامپیوتر دارد. SP2 دو ورودی دیگر اضافه کرد: خدمات محلی و سرویس شبکه. تفاوت های اساسی بین سه رکورد فهرست شده را می توان در جدول یافت. یکی

میز 1

بر این اساس، با شروع Windows XP SP2، مدیر می‌تواند سرویس را برای اجرا در زمینه یکی از حساب‌های داخلی، یک حساب محلی یا یک حساب دامنه پیکربندی کند. با این حال، اکثر سرویس های خود ویندوز هنوز در زمینه سیستم محلی اجرا می شوند. اما حتی جدای از این، وضعیتی که چندین سرویس در زمینه یک حساب در حال اجرا هستند منجر به این واقعیت می شود که یک حمله موفقیت آمیز به یک سرویس، حتی بدون امتیازات اداری، به طور بالقوه هر منبع دیگری را که مهاجم به آن دسترسی دارد، در معرض خطر قرار می دهد. حساب خدمات

ویندوز ویستا چندین مکانیسم را برای افزایش جداسازی سرویس معرفی کرد. من در دو توقف می کنم.
اولین مکانیسم، شناسه امنیتی منحصر به فرد سرویس (SID) است. این SID برای هر سرویس با هش کردن نام سرویس با استفاده از الگوریتم SHA-1 تولید می شود. نتیجه با S-1-5-80- پیشوند است. می توانید SID یک سرویس را با استفاده از دستور sc showsid با نام سرویس به عنوان پارامتر مشاهده کنید (شکل 1 را ببینید).
برنج. یکی

برای مثال می توانید با سرویس W32Time آزمایش کنید. برای هر پوشه ای در NTFS در تنظیمات مجوزها (مجوزها)، فقط باید نام کاربری را با فرمت NT SERVICE وارد کنید.<имя службы>، در مورد ما NT SERVICE\w32time (شکل 2 را ببینید).

برنج. 2

روی بررسی نام‌ها کلیک کنید، سپس تأیید کنید و کاربر را ببینید (شکل 3 را ببینید)، که می‌توان به آن حقوق اختصاص داد.

برنج. 3

باز هم، w32time یک شی کاربر نیست. این یک SID است، اما اگر چنین است، می توان از آن در ACL ها، هم در رابط گرافیکی و هم در خط فرمان و به صورت برنامه ای استفاده کرد. علاوه بر این، SID های سرویس را می توان در تنظیمات فایروال ویندوز استفاده کرد و قوانین خاصی را برای یک سرویس خاص یا به عبارت بهتر یک سرویس SID خاص اعمال کرد.

دومین تغییر معرفی شده در ویستا، نوع جدیدی از SID، Write Restricted SID است. اگر سرویسی با نوع Write Restricted SID علامت گذاری شده باشد، SID آن در نشانه دسترسی خودش به یک لیست خاص اضافه می شود - لیست SID محدود. هنگامی که چنین سرویسی سعی می کند چیزی را در یک فایل بنویسد، الگوریتم بررسی حقوق دسترسی تا حدودی تغییر می کند. یعنی، یک سرویس تنها در صورتی قادر به نوشتن در یک فایل خواهد بود که مجوز Write صراحتاً به SID سرویس یا به گروه Everyone داده شده باشد.
به عنوان مثال، ServiceAccount1 برخی از Service1 یکی از اعضای Group1 است. Group1 و فقط Group1 دارای مجوز Write در Folder1 هستند. اگر سرویس سعی کند چیزی را در Folder1 تغییر دهد چه اتفاقی می افتد؟ در شرایط عادی، ServiceAccount1 می‌تواند با هزینه عضویت در Group1 در پوشه بنویسد. اما اگر Service1 با نوع Write Restricted SID علامت‌گذاری شده باشد، توکن دسترسی آن به گونه‌ای دیگر مدیریت می‌شود و نمی‌تواند چیزی در پوشه بنویسد، زیرا به صراحت به آن اجازه Write داده نشده است و همچنین مجوز Everyone به آن داده شده است.
می توانید نوع SID را با استفاده از دستور sc qsidtype مشاهده کنید (شکل 4 را ببینید).

برنج. 4

به طور خاص، در شکل. 4، مشاهده می کنید که سرویس فایروال ویندوز متعلق به نوع ذکر شده است. طبیعتاً این نوع به منظور محدود کردن بیشتر قابلیت های سرویس (قابلیت پاک کردن یا بازنویسی چیزی) در صورت هک موفقیت آمیز معرفی شد. همچنین باید اضافه کرد که این مکانیسم در درجه اول نه برای مدیران سیستم، بلکه برای توسعه دهندگان خدمات در نظر گرفته شده است. فقط برای استفاده از آن

در ویندوز 7 و ویندوز سرور 2008 R2، کار بر روی جداسازی سرویس ادامه یافته است. حساب های مجازی (حساب های مجازی) و حساب های خدمات مدیریت شده (حساب های خدمات مدیریت شده) وجود دارد. و در واقع مشکل چیست؟ ما باید خدمات را ایزوله کنیم - بیایید تعداد مورد نیاز حساب های کاربری محلی (یا دامنه) را ایجاد کنیم. هر سرویس حیاتی حساب مخصوص به خود را دارد. بله، این راه حل است. اما برای سرویس‌های محلی که نیازی به دسترسی شبکه به منابع ندارند، باید رمزهای عبور طولانی و پیچیده را به صورت دستی تنظیم کنید. و همچنین به صورت دستی آنها را به صورت دوره ای به روز کنید. خوب، از آنجایی که همه ما برای امنیت هستیم. برای سرویس‌هایی که نیاز به دسترسی به منابع از طریق شبکه در زمینه حساب‌های دامنه دارند، به علاوه شما باید یک نام اصلی سرویس (SPN) را نیز ثبت کنید که برای هر سرویس متفاوت است. راحت نیست. اما این ناراحتی زمانی که یک سرویس به دلیل گذرواژه منقضی شده راه اندازی نشود، به یک مشکل واقعی تبدیل می شود. و مدیر فقط فراموش کرده است که رمز عبور او را تغییر دهد.

بنابراین برای خدمات محلی، می توانید از حساب های مجازی استفاده کنید. حساب مجازی فقط برای اجرای یک سرویس خاص، به طور خاص، برای ایجاد یک زمینه امنیتی برای یک سرویس خاص استفاده می شود. شما این مدخل را در میان کاربران در مدیریت کامپیوتر پیدا نخواهید کرد. و با این حال، این یک حساب کاربری است، با SID منحصر به فرد خود، با نمایه کاربری خاص خود. و بنابراین، می توانید مجوزهایی را به آن اختصاص دهید و از این طریق، حقوق دسترسی را متمایز کنید و آنها را به وضوح کنترل کنید. اما درست مانند Local System، Local Service و Network Service، سیستم عامل وظایف مدیریت رمز عبور حساب های مجازی را بر عهده می گیرد. ما خدمات لازم را جدا می کنیم و در مورد رمزهای عبور مشکلی نداریم.

برای ایجاد یک حساب مجازی، باید در تنظیمات سرویس به عنوان یک حساب کاربری مشخص کنید: NT SERVICE\<имя службы>(شکل 5 را ببینید)

برنج. 5

پس از راه اندازی سرویس، حساب مجازی در کنسول Services نمایش داده می شود (شکل 6) و در پوشه Users متوجه ظاهر یک پروفایل کاربری جدید خواهید شد.
برنج. 6

فرمت بسیار شبیه به سرویس SID است. اما تاکید می کنم که این فقط یک SID منحصر به فرد اضافی برای سرویس مانند ویستا نیست، این یک حساب جداگانه و بر این اساس، یک سطح جداسازی متفاوت است. به طور پیش فرض، حساب های مجازی، به عنوان مثال، برای مجموعه های برنامه در IIS 7.5 در ویندوز سرور 2008 R2 استفاده می شود. به خاطر داشته باشید که حساب های مجازی برای استفاده محلی هستند. اگر سرویسی که در زمینه یک حساب مجازی اجرا می شود از طریق شبکه قابل دسترسی باشد، این دسترسی از طرف حساب رایانه ای که سرویس روی آن اجرا می شود، رخ می دهد. اگر لازم است که یک سرویس، به عنوان مثال SQL Server، از طرف یک حساب دامنه از طریق شبکه کار کند، حساب های سرویس مدیریت شده در اینجا کمک خواهند کرد. با این حال، ظرافت های بیشتری در ارتباط با آنها وجود دارد، و بررسی آنها خارج از حوصله این پست است. درباره MSA بیشتر بدانید