„Microsoft“ paskyros paslauga nepasiekiama. „Windows“ klaidos trikčių šalinimas „Nepavyko prisijungti prie paskyros“. Išspręskime problemą „Nepavyko įkelti vartotojo profilio“ paprastu būdu

Vartotojo abonemento sugadinimas yra dažna „Windows“ problema. Problema kyla, kai užrakinimo ekrane įvedate slaptažodį arba PIN kodą, o paspaudę enter, gausite klaidą „Vartotojo profilio paslaugai nepavyko prisijungti. Nepavyko įkelti vartotojo profilio“ sistemoje „Windows 10“ arba vartotojo profilio paslauga neleidžia prisijungti „Windows 7“ sistemoje.

Išspręskite problemą „Vartotojo profilio paslaugai nepavyko prisijungti“ naudodami registro rengyklę

1 parinktis: pataisykite vartotojo paskyros profilį

Kartais jūsų paskyra gali būti sugadinta ir tai neleidžia pasiekti failų sistemoje „Windows 10“. Eikime į registro rengyklę keliais būdais, naudodami saugųjį režimą:

1 žingsnis. Paspauskite spartųjį klavišą " langai + R“ norėdami iškviesti komandą „vykdyti“ ir įvesti komandą regedit norėdami patekti į registrą.

2 žingsnis. Atsidariusiame lange sekite kelią:

3 veiksmas. Parametre turėsite kelis raktus s-1-5. Turėsite pasirinkti ilgiausią raktą su ilgu skaičių masyvu ir paskyrą, kurioje buvo rodoma klaida „Nepavyko prisijungti naudotojo profilio paslaugai“. Įsitikinkite, kad kelias yra teisingas, spustelėkite ilgą klavišą ir dešiniajame stulpelyje turėtų būti vardas, jei jo nerandate, tada slinkite per visus ilgus klavišus, kol dešiniajame stulpelyje atsidursite sugedusiu profiliu. atveju, sąskaita .

4 veiksmas. Jei neteisingai pervardijote paveiktos paskyros vartotojo profilio aplanką C:\User\site, atidarykite „File Explorer“ keliu C:\User\site ir dešiniuoju pelės mygtuku spustelėkite sugadintą profilį, pasirinkite pervadinti ir rankiniu būdu įveskite teisingą profilio pavadinimą (svetainę). Pervardę grįžtame į aplanką registre ir matome, kad pavadinimas parašytas kaip paveikslėlyje (3 veiksmas) C:\User\website.

Žr. dvi parinktis, 6 veiksmą ir 7 veiksmą, priklausomai nuo to, kaip

5 veiksmas. Dabar padarykime du variantus, jei turime vieną ilgą raktą S-1-5-21-19949....-1001. bak(.bak plėtinio pabaigoje) ir su antruoju be .bak tie. tik S-1-5-21-19949....-1001. Priklausomai nuo to, kas turi du ar vieną profilį.

6 veiksmas. C.bak gale yra tik vienas raktas (S-1-5-21-19949....-1001.bak).

• A) Jei c pabaigoje turite tik vieną raktą .bak(S-1-5-21-19949....-1001.bak), spustelėkite jį dešiniuoju pelės mygtuku ir spustelėkite pervardyti. (žr. paveikslėlį žemiau).

• B) Ištrinkite patį žodį tašku .bak gauti tik skaičius. Tęskite nuo 8 veiksmo. (Žiūrėkite paveikslėlį žemiau)

7 veiksmas. Jei turite du vienodus raktus, vieną be .bak, kitą su .bak. (S-1-5-21-19949....-1001 ir S-1-5-21-19949....-1001.bak) .

• A) Kairiojoje registro srityje dešiniuoju pelės mygtuku spustelėkite raktą be .bak ir pridėkite tašką, dvi raides .bk(žr. paveikslėlį žemiau).

• B) Dabar dešiniuoju pelės mygtuku spustelėkite klavišą su .bak, pasirinkite pervadinti ir ištrinti .bak su tašku. (žr. paveikslėlį žemiau).

• C) Dabar grįžkite ir pervardykite pirmąjį raktą su .bk in .bak. Paspauskite Enter ir atlikite 8 veiksmą.

8 veiksmas. Pažymėkite raktą, kuris buvo pervadintas be .bak ir dešiniąją stulpelyje dukart spustelėkite, kad atidarytumėte parametrų nustatymus, ir priskirkite reikšmę 0. Jei tokio parametro neturite, dešiniuoju pelės mygtuku spustelėkite tuščią lauką ir sukurkite DWORD. (32 bitų) reikšmę, pervardykite ją į RefCount ir nustatykite reikšmę į 0.

9 veiksmas. Dešiniajame lauke pasirinkite raktą be .bak ir parametre valstybė nustatykite reikšmę į 0. Jei tokio parametro nėra, spustelėkite tuščią lauką dešinėje ir spustelėkite sukurti DWORD (32 bitų), pervardykite jį į valstybė ir nustatykite reikšmę į 0.

10 veiksmas. Iš naujo paleiskite kompiuterį ir „Windows 10“ klaidos „vartotojo profilio paslaugai nepavyko prisijungti“ ir „nepavyko įkelti vartotojo profilio“ turėtų išnykti.

2 parinktis: ištrinkite ir sukurkite naują paskyros vartotojo profilį

Ši parinktis ištrins vartotojo profilį ir prarasite visus paskyros nustatymus bei suasmeninimą.

1 žingsnis. Jei yra kita administratoriaus paskyra, kurioje nėra klaidos, atsijunkite nuo dabartinės paskyros (pvz., svetainė) ir prisijunkite prie administratoriaus paskyros.

Jei neturite kitos administratoriaus paskyros, prie kurios galėtumėte prisijungti, galite atlikti vieną iš toliau pateiktų parinkčių, kad įgalintumėte įtaisytosios administratoriaus paskyros prisijungimą, ir pereikite prie toliau pateikto 2 veiksmo.

• BET). Paleiskite į saugųjį režimą, įgalinkite integruotą administratorių, atsijunkite ir prisijunkite prie administratoriaus.
• B). Įkrovimo metu atidarykite komandų eilutės langą, įgalinkite integruotą administratorių, iš naujo paleiskite kompiuterį ir prisijunkite prie administratoriaus.

2 žingsnis. Sukurkite atsarginę informaciją, ko nenorite prarasti atitinkamos vartotojo abonemento profilio aplanke C:\Users\(naudotojo vardas) (pvz.: svetainė), į kitą vietą. Baigę ištrinkite aplanką C:\Users\(naudotojo vardas).

3 veiksmas. Paspauskite Windows + R mygtukus, kad atidarytumėte dialogo langą Vykdyti, įveskite regedit ir spustelėkite Gerai.

4 veiksmas. Registro rengyklėje eikite į toliau nurodytą vietą.

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

5 veiksmas. Kairiojoje srityje, esančiame ProfileList, spustelėkite ilgą klavišą, dėl kurio paskyra nepavyko. Profilis matomas dešinėje.

6 veiksmas. Ištrinti profilius su .bak ir be .bak klaidų. Pavyzdžiui ( S-1-5-21-19949....-1001 ir S-1-5-21-19949....-1001.bak)-Ištrinti.

7 veiksmas. Uždarykite registro rengyklę ir iš naujo paleiskite kompiuterį, po kurio jis automatiškai iš naujo sukurs naują vartotoją.

Išspręskime problemą „Nepavyko įkelti vartotojo profilio“ paprastu būdu

1 būdas. Šis metodas tinka ne visiems, bet padėjo daugeliui. Pabandykite nukopijuoti aplanke (C:\Users\) esančius dokumentus į kitą vietą, kad tik tuo atveju sukurtumėte atsarginę kopiją. Paprastai problema kyla dėl failo „NTUSER.DAT“, esančio aplanke „C:\Users\Default“, sugadinimo. Norėdami išspręsti šią problemą, turite pakeisti failą "NTUSER.DAT" kitu profiliu. .

1. Prisijunkite prie sistemos saugiuoju režimu naudodami veikiančią profilio paskyrą.
2. Raskite failą (C:\Users\Default) "NTUSER.DAT" ir pervardykite .DAT plėtinį į .OLD. Turėtų būti (NTUSER.OLD).
3. Darbo profilyje raskite failą „NTUSER.DAT“, pvz., „Svečias“, „Bendra“. Pavyzdys (C:\Users\Guest\NTUSER.DAT).
4. Nukopijuokite jį ir įklijuokite į numatytąjį aplanką C:\Users\Default.
5. Norėdami iš naujo paleisti kompiuterį.

Galite nukopijuoti šį failą iš kito kompiuterio, kuriame yra ta pati Windows versija, ir įklijuoti jį į C:\Users\Default kelią.

2 būdas. Galite pabandyti pakeisti visą aplanką „C:\Users\“ iš kito kompiuterio.

• Paimkite „flash drive“ FAT32 formatu ir užsirašykite aplanką C:\Users\ iš kito kompiuterio ir įkelkite jį į savo kompiuterį.

Jei kas nors žino, kaip kitaip ištaisyti klaidą „Vartotojo profilio paslauga neleidžia prisijungti“ kitu būdu, tada parašykite formoje „pranešti apie klaidą“.

Naudotojo profilio sugadinimo problemos yra vienos dažniausiai pasitaikančių, dažniausiai kartu su pranešimais „Nepavyko prisijungti“ ir „Esate prisijungę naudodami laikiną profilį“. Todėl šiandien nusprendėme papasakoti, kaip sutvarkytas vartotojo profilis, kas gali jį sugadinti ir kokiais būdais galima atkurti normalų sistemos veikimą.

Pradėkime nuo simptomų, pirmas ženklas, kad kažkas ne taip, yra užrašas „Windows“ paruošimas pasisveikinimo ekrane, o ne Sveiki.

Tada būsite „patenkinti“ žinute „Neįmanoma prisijungti“ su galimybėmis vėl įeiti ir tęsti darbą.

Jei uždarysime šį langą, pamatysime kitą pranešimą, kuris šiek tiek nušvies, kas vyksta. „Jūs esate prisijungę naudodami laikiną profilį“.

Jei profilis yra laikinas, tada paaiškėja, kad dėl kokių nors priežasčių nuolatinio vartotojo profilio įkelti nepavyko. Todėl karščiuosime ne, o bandysime išsiaiškinti, kas yra vartotojo profilis, kokie duomenys jame yra ir dėl ko gali būti neįmanoma jo įkelti.

Pačiame pirmajame apytikslyje vartotojo profilis yra katalogo turinys C:\Vartotojai\Vardas, kur vardas- vartotojo vardą, ten pamatysime visiems pažįstamus aplankus Darbalaukis, dokumentai, atsisiuntimai, muzika ir tt, taip pat paslėptas aplankas Programos duomenys.

Su matoma profilio dalimi viskas aišku – tai standartiniai vartotojo duomenų talpinimo aplankai, beje, juos galime drąsiai perskirstyti į bet kurią kitą vietą. Naujausiose „Windows“ versijose netgi galite iš naujo priskirti darbalaukį.

Tai gana patogu ir pagrįsta, atsižvelgiant į tai, kiek vartotojai laiko savo staliniuose kompiuteriuose, o tie patys SSD diskai toli gražu nėra guminiai. Bet čia ne apie tai, daug įdomiau yra tai, kas paslėpta nuo paprasto vartotojo akių.

Aplankas Programos duomenys yra skirtas saugoti įdiegtų programų nustatymus ir vartotojo duomenis, o savo ruožtu yra dar trys aplankai: vietinis, vietinis žemas ir Tarptinklinis ryšys.

Panagrinėkime juos išsamiau:

• Tarptinklinis ryšys- tai „šviesioji“ ir, kaip rodo pavadinimas, kilnojama profilio dalis. Jame yra visi pagrindiniai programų ir vartotojo darbo aplinkos nustatymai; jei tinkle naudojami tarptinklinio ryšio profiliai, jo turinys nukopijuojamas į bendrinamą šaltinį ir įkeliamas į bet kurią darbo vietą, kurioje vartotojas yra prisijungęs.
• Vietinis- „sunkioji“ profilio dalis, talpyklos, laikinų failų ir kitų nustatymų, taikomų tik dabartiniam kompiuteriui. Jis gali pasiekti didelį dydį, nejuda per tinklą.
• vietinis žemumas- žemo vientisumo vietiniai duomenys. Šiuo atveju vėl turime nesėkmingą termino vertimą žemas vientisumo lygis, iš tikrųjų vientisumo lygiai yra tik dar vienas saugumo mechanizmas. Nesileidžiant į smulkmenas galima teigti, kad sistemos duomenys ir procesai pasižymi aukštu vientisumu, standartiniu – vartotojo, žemu – potencialiai pavojingu. Jei pažvelgsime į šį aplanką, pamatysime jame duomenis, susijusius su naršyklėmis, „Flash“ grotuvu ir kt. Logika čia paprasta – bet kokios avarijos ar atakos atveju procesai, paleisti iš šio aplanko, neturės prieigos prie vartotojo duomenų.

O dabar pats laikas pagalvoti, kuris iš nurodytų duomenų sugadinimo gali sukelti problemų įkeliant profilį? Tikriausiai nė vienas. Todėl profilyje turi būti dar kažkas. Žinoma, taip, ir jei atidžiai pažiūrėsite į aukščiau esančio vartotojo profilio ekrano kopiją, pamatysime failą ten NTUSER.DAT. Jei įjungsite ekraną apsaugoti sistemos failai, tada pamatysime visą rinkinį failų panašiais pavadinimais.

Čia mes priėjome prie esmės. Byloje NTUSER.DAT yra registro skyrius HKEY_CURRENT_USER kiekvienam vartotojui. Ir būtent dėl ​​registro šakos žalos neįmanoma įkelti vartotojo profilio. Tačiau ne viskas taip blogai, kaip gali pasirodyti iš pirmo žvilgsnio. Registras yra gana gerai apsaugotas nuo galimų gedimų.

Failai ntuser.dat.LOG yra registro pakeitimų po paskutinio sėkmingo įkrovimo žurnalas, todėl kilus problemoms galima grįžti atgal. Failai su plėtiniu regtrans-ms yra operacijų žurnalas, leidžiantis išlaikyti nuoseklią registro šaką staigaus darbo nutraukimo metu atliekant pakeitimus registre. Tokiu atveju visos laukiančios operacijos bus automatiškai atšauktos.

Mažiausiai dominantys failai blf- tai yra registro filialo atsarginės kopijos žurnalas, pavyzdžiui, naudojant įprastą įrankį Sistemos atkūrimo.

Taigi, išsiaiškinę, iš ko susideda vartotojo profilis ir dėl kurios jo dalies pažeidimas neleidžia įkelti, apsvarstysime būdus, kaip atkurti sistemą.

1 būdas: išspręskite vartotojo profilio problemą

Visų pirma, jei kyla problemų prisijungiant prie paskyros, turėtumėte patikrinti sistemos garsumą, ar nėra klaidų. Norėdami tai padaryti, paleiskite atkūrimo konsolę arba Windows PE ir paleiskite komandą:

Chkdsk c: /f

Kai kuriais atvejais to gali pakakti, bet mes apsvarstysime blogiausią atvejį. Patikrinę diską, paleiskite sistemą ir atidarykite registro rengyklę, eikite į filialą

Kairėje pamatysime keletą skyrių su tipo pavadinimu S-1-5 ir ilga „uodega“, atitinkanti vartotojų profilius. Norėdami nustatyti, kuris profilis priklauso kuriam vartotojui, atkreipkite dėmesį į raktą ProfileImagePath Dešinėje:

Taigi, norimas profilis rastas, dabar vėl žiūrime į medį kairėje, kuriame turėtų būti dvi šakos, kurių viena baigiasi bak.

Dabar mūsų užduotis yra pervadinti pagrindinį profilį į bak, a bak pagrindinėje. Norėdami tai padaryti, pridėkite bet kokį plėtinį prie pagrindinio profilio, tarkime .ba, tada pervardykite atsarginį profilį į pagrindinį, pašalindami iš jo pavadinimo .bak ir dar kartą pervardykite ba in bak.

Beje, gali būti situacijų, kai jūsų paskyrai yra tik filialas bak, tokiu atveju tiesiog pašalinkite jo plėtinį.

Tada naujajame pagrindiniame profilyje randame du raktus RefCount ir valstybė ir abu nustatykite į nulį.

Perkrauname. Daugeliu atvejų, jei profilis nėra rimtai pažeistas, šie veiksmai bus sėkmingi, kitu atveju pereikite prie 2 metodo.

2 būdas. Sukurkite naują profilį ir nukopijuokite ten vartotojo duomenis

Oficialioje „Microsoft“ dokumentacijoje tokiu atveju patariama susikurti naują paskyrą ir ten nukopijuoti profilio duomenis. Tačiau šis metodas sukelia daugybę problemų, nes naujas vartotojas yra naujas saugos objektas, todėl iš karto kyla problemų dėl prieigos teisių, be to, turėsime iš naujo prijungti visas tinklo paskyras, iš naujo importuoti asmeninius sertifikatus ir eksportuoti-importuoti paštą (jei naudojate Outlook). Apskritai pramogų užteks ir ne faktas, kad visas problemas pavyks sėkmingai įveikti.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

ir ištrinti visas su jūsų profiliu susijusias šakas. Perkrauname.

Po to „Windows“ sukurs naują paskyros profilį, tarsi prisijungtumėte pirmą kartą. Tačiau jūsų saugos identifikatorius (SID) išliks nepakitęs, jūs vėl būsite visų savo objektų, sertifikatų ir t. t. savininkas.

Tolimesniems veiksmams reikės kitos paskyros su administratoriaus teisėmis, sukurkime ją, mūsų atveju tai yra paskyra temp.

Po to išeiname iš pagrindinės paskyros (arba paleidžiame iš naujo) ir įvedame antrinę paskyrą. Mūsų užduotis yra nukopijuoti visą senojo profilio aplanko turinį, išskyrus NTUSER failus, į naują aplanką. Šiems tikslams geriau naudoti failų tvarkyklę (Total Commander, Far ir kt.), Paleistą administratoriaus teisėmis.

Pasibaigus kopijavimo procesui, vėl prisijungiame prie savo paskyros ir patikriname paskyros veikimą. Visi duomenys ir nustatymai turėtų būti grąžinti į savo vietas. Tačiau neskubėkite ištrinti senojo aplanko ir papildomos paskyros, kai kuriuos duomenis gali tekti perkelti dar kartą. Taip gali nutikti dėl to, kad kai kurios programos, kurios saugo nustatymus pažeistoje registro šakoje, gali nuspręsti, kad baigtas naujas diegimas ir perrašyti perkeltus failus, tokiu atveju pakanka pasirinktinai nukopijuoti reikiamus duomenis.

Kurį laiką padirbėję su sistema ir įsitikinę, kad viskas yra vietoje ir veikia taip, kaip turėtų, galite ištrinti seną aplanką ir papildomą paskyrą.

• Žymos:

Kaip žinote, „Windows“ paslaugos yra viena iš labiausiai mėgstamų atakų prieš operacinę sistemą vietų. Blogiausiu atveju (žinoma, mums) užpuolikas gauna galimybę veikti užpultame kompiuteryje paskyros, kurioje veikia nulaužta paslauga, kontekste. Ir jei ši paskyra turi administravimo teises, tada iš tikrųjų užpuolikas visiškai valdo kompiuterį. Nuo versijos iki versijos sistemoje „Windows“ atsiranda naujų mechanizmų, kurie suteikia papildomą paslaugų izoliaciją ir dėl to sustiprina visos sistemos saugumą. Norėčiau trumpai pasvarstyti, kas iš esmės pasikeitė šia kryptimi per pastaruosius kelerius metus.

Pirmieji reikšmingi paslaugų apsaugos mechanizmų pakeitimai pasirodė Windows XP 2 pakeitimų pakete. Dabar sunku įsivaizduoti, bet iki SP2 išleidimo visos pačios operacinės sistemos paslaugos veikė integruotos Vietinės sistemos paskyros kontekste. , kuris turi pačias išsamiausias kompiuterio administratoriaus teises. SP2 pridėjo dar du įrašus: Vietinė paslauga ir tinklo paslauga. Esminius skirtumus tarp trijų išvardytų įrašų galima rasti lentelėje. vienas.

1 lentelė

Atitinkamai, pradedant Windows XP SP2, administratorius gali sukonfigūruoti paslaugą, kad ji veiktų naudojant vieną iš integruotų paskyrų, vietinę paskyrą arba domeno paskyrą. Tačiau dauguma „Windows“ paslaugų vis tiek veikia vietinės sistemos kontekste. Tačiau net ir nepaisant to, situacija, kai toje pačioje paskyroje veikia kelios paslaugos, lemia tai, kad sėkmingas vienos paslaugos ataka, net ir be administratoriaus teisių, gali atskleisti bet kokius kitus išteklius, prie kurių užpuolikas turi prieigą prie pažeistos paslaugos paskyros. .

„Windows Vista“ pristatė keletą mechanizmų, skirtų padidinti paslaugų izoliavimą. Sustosiu ties dviem.
Pirmasis mechanizmas yra unikalus paslaugos saugos identifikatorius (Service SID). Šis SID sugeneruojamas kiekvienai paslaugai sumaišius paslaugos pavadinimą naudojant SHA-1 algoritmą. Rezultatas yra priešdėlis S-1-5-80-. Paslaugos SID galite peržiūrėti naudodami komandą sc showid su paslaugos pavadinimu kaip parametru (žr. 1 pav.).
Ryžiai. vienas

Galite eksperimentuoti, pavyzdžiui, su W32Time paslauga. Bet kuriame NTFS aplanke leidimų nustatymuose (leidimai) tereikia įvesti vartotojo vardą formatu NT SERVICE\<имя службы>, mūsų atveju NT SERVICE\w32time (žr. 2 pav.).

Ryžiai. 2

Spustelėkite Tikrinti vardus, tada Gerai ir pamatysite vartotoją (žr. 3 pav.), kuriam galima priskirti teises.

Ryžiai. 3

Vėlgi, w32time nėra vartotojo objektas. Tai yra SID, bet jei taip, jis gali būti naudojamas ACL tiek grafinėje sąsajoje, tiek komandinėje eilutėje ir programiškai. Be to, paslaugų SID gali būti naudojami „Windows“ ugniasienės nustatymuose, taikant tam tikras taisykles konkrečiai paslaugai, tiksliau – konkrečiam paslaugos SID.

Antrasis Vista pakeitimas yra naujo tipo SID, Write Restricted SID. Jei paslauga pažymėta Rašymo apribojimo SID tipu, tada jos SID savo prieigos žetonu įtraukiamas į specialų sąrašą – Apribotų SID sąrašą. Kai tokia paslauga bando ką nors įrašyti į failą, prieigos teisių tikrinimo algoritmas šiek tiek pasikeičia. Būtent, paslauga galės rašyti į failą tik tuo atveju, jei rašymo leidimas yra aiškiai suteiktas paslaugos SID arba grupei Visi.
Pavyzdžiui, kai kurios paslaugos1 ServiceAccount1 yra grupės1 narys. 1 grupė ir tik 1 grupė turi rašymo leidimą 1 aplanke. Kas atsitiks, jei paslauga bandys ką nors pakeisti aplanke 1? Įprastomis aplinkybėmis ServiceAccount1 galės rašyti į aplanką už 1 grupės nario kainą. Bet jei „Service1“ pažymėta rašymo riboto SID tipu, tada jos prieigos prieigos raktas tvarkomas kitaip ir negali nieko įrašyti į aplanką, nes jai nebuvo aiškiai suteiktas rašymo leidimas, taip pat nebuvo suteiktas visiems leidimas.
SID tipą galite peržiūrėti naudodami komandą sc qsidtype (žr. 4 pav.).

Ryžiai. keturi

Visų pirma, pav. 4, matote, kad Windows ugniasienės paslauga priklauso minėtam tipui. Natūralu, kad šis tipas buvo pristatytas siekiant dar labiau apriboti paslaugos galimybes (galimybę ką nors ištrinti ar perrašyti) sėkmingo įsilaužimo atveju. Taip pat reikėtų pridurti, kad šis mechanizmas pirmiausia skirtas ne sistemų administratoriams, o paslaugų kūrėjams. Tik tam, kad naudotum.

„Windows 7“ ir „Windows Server 2008 R2“ paslaugos izoliavimo darbas tęsiamas. Yra virtualios paskyros (virtualios paskyros) ir valdomos paslaugų paskyros (valdomos paslaugų paskyros). Ir iš tikrųjų kame yra problema? Turime izoliuoti paslaugas – sukurkime reikiamą skaičių vietinių (arba domeno) vartotojų paskyrų. Kiekviena svarbi paslauga turi savo paskyrą. Taip, tai yra sprendimas. Tačiau vietinėms paslaugoms, kurioms nereikia tinklo prieigos prie išteklių, turite rankiniu būdu nustatyti ilgus ir sudėtingus slaptažodžius. Taip pat periodiškai atnaujinkite juos rankiniu būdu. Na, nes mes visi už saugumą. Paslaugoms, kurioms reikia pasiekti išteklius tinkle domeno paskyrų kontekste, taip pat turite užregistruoti pagrindinį paslaugos pavadinimą (SPN), kuris kiekvienai paslaugai skiriasi. Tai nėra patogu. Tačiau nepatogumai tampa tikra problema, kai paslauga negali paleisti dėl pasibaigusio slaptažodžio. O administratorė tiesiog pamiršo pakeisti jos slaptažodį.

Taigi vietinėms paslaugoms galite naudoti virtualias paskyras. Virtuali paskyra naudojama tik tam tikrai paslaugai vykdyti, konkrečiau, tam tikros paslaugos saugos kontekstui sukurti. Šio įrašo nerasite tarp kompiuterių valdymo vartotojų. Ir vis dėlto tai yra paskyra su savo unikaliu SID ir savo vartotojo profiliu. Todėl galite priskirti jam leidimus ir taip atskirti prieigos teises bei aiškiai jas valdyti. Tačiau, kaip ir naudojant vietinę sistemą, vietinę paslaugą ir tinklo paslaugą, operacinė sistema perima virtualių paskyrų slaptažodžių tvarkymo užduotis. Izoliuojame reikalingas paslaugas, o dėl slaptažodžių mums galvos neskauda.

Norėdami sukurti virtualią paskyrą, paslaugų nustatymuose kaip paskyrą turite nurodyti: NT SERVICE\<имя службы>(žr. 5 pav.)

Ryžiai. 5

Paleidus paslaugą virtuali paskyra bus rodoma Paslaugų pulte (6 pav.), o aplanke Vartotojai pastebėsite naujo vartotojo profilio atsiradimą.
Ryžiai. 6

Formatas labai panašus į paslaugos SID. Tačiau pabrėžiu, kad tai nėra tik papildomas unikalus paslaugos SID kaip Vista, tai yra atskira paskyra ir atitinkamai kitoks izoliacijos lygis. Pagal numatytuosius nustatymus virtualiosios paskyros naudojamos, pavyzdžiui, programų telkiniams IIS 7.5 sistemoje Windows Server 2008 R2. Atminkite, kad virtualios paskyros yra skirtos vietiniam naudojimui. Jei paslauga, veikianti virtualiosios paskyros kontekste, pasiekiama tinkle, ši prieiga pasiekiama kompiuterio, kuriame veikia paslauga, paskyros vardu. Jei reikia, kad paslauga, pvz., SQL Server, veiktų tinkle domeno paskyros vardu, tada čia padės valdomos paslaugų paskyros. Tačiau su jais siejama ir daugiau subtilybių, todėl jų svarstymas nepatenka į šio įrašo sritį. Sužinokite daugiau apie MSA