Microsoft дансны үйлчилгээ боломжгүй байна. "Бүртгэлд нэвтрэх боломжгүй" Windows алдааг олж засварлах. "Хэрэглэгчийн профайлыг ачаалах боломжгүй" гэсэн асуудлыг энгийн аргаар шийдье

Хэрэглэгчийн дансны эвдрэл нь Windows-ийн нийтлэг асуудал юм. Түгжигдсэн дэлгэцэн дээр нууц үг эсвэл пин оруулаад enter товчийг дарахад Windows 10-д "Хэрэглэгчийн профайлын үйлчилгээ нэвтэрч чадсангүй. Хэрэглэгчийн профайлыг ачаалж чадсангүй" гэсэн алдаа гарч ирэх эсвэл хэрэглэгчийн профайлын үйлчилгээ нэвтрэхээс сэргийлж байна. Windows 7 дээр..

Бүртгэлийн засварлагч ашиглан "Хэрэглэгчийн профайлын үйлчилгээ нэвтэрч чадсангүй" гэсэн асуудлыг шийднэ үү

Сонголт 1: Хэрэглэгчийн бүртгэлийн профайлыг засах

Заримдаа таны акаунт эвдэрч, энэ нь таныг Windows 10-д байгаа файлуудад хандахаас сэргийлдэг. Аюулгүй горимоор бүртгэлийн засварлагч руу хэд хэдэн аргаар орцгооё:

1-р алхам. "Гарын товчлолыг дарна уу" windows + R" гүйцэтгэх" командыг дуудаж тушаалыг оруулна уу regeditбүртгэлд орох.

Алхам 2. Нээгдсэн цонхонд дараах замыг дагана уу.

Алхам 3. Параметрт та олон түлхүүртэй байх болно s-1-5. Та "Хэрэглэгчийн профайлын үйлчилгээ нэвтэрч чадсангүй" гэсэн алдаатай, урт массив бүхий хамгийн урт түлхүүр болон дансаа сонгох шаардлагатай. Зам зөв эсэхийг шалгаад урт товчлуур дээр дарж баруун баганад нэр байх ёстой, хэрэв олдохгүй бол баруун баганад эвдэрсэн профайлтайгаа тааралдтал бүх урт товчлууруудыг гүйлгэ. хэрэг, данс .

Алхам 4. Хэрэв та нөлөөлөлд өртсөн акаунтын хэрэглэгчийн профайл хавтас C:\User\site-н нэрийг буруу өөрчилсөн бол C:\User\site зам дагуу File Explorer-г нээгээд эвдэрсэн профайл дээр хулганы баруун товчийг дарна уу. нэрийг өөрчлөхмөн гараар зөв профайлын нэрийг (сайт) оруулна уу. Нэрээ өөрчилсний дараа бид бүртгэлийн хавтас руу буцаж очоод нэр нь зурган дээрх шиг бичигдсэн байхыг харна (3-р алхам) C:\User\website.

Хэрхэн байгаагаас хамааран 6-р алхам ба 7-р алхамыг үзнэ үү

Алхам 5. Одоо хоёр сонголт хийцгээе, хэрэв бидэнд нэг урт түлхүүр байгаа бол S-1-5-21-19949....-1001. бак(.bak өргөтгөлийн төгсгөлд) болон хоёр дахь нь байхгүй .bakтэдгээр. зүгээр л S-1-5-21-19949....-1001. Хэн хоёр эсвэл нэг профайл жагсааж байгаагаас хамаарна.

Алхам 6. c.bak (S-1-5-21-19949....-1001.bak)-ийн төгсгөлд зөвхөн нэг түлхүүр байна.

• A) Хэрэв та в-ийн төгсгөлд зөвхөн нэг түлхүүртэй бол .bak(S-1-5-21-19949....-1001.bak), дээр нь хулганы баруун товчийг дараад нэрээ солих дээр дарна уу. (доорх зургийг үзнэ үү).

• B) Үгийг өөрөө цэгээр устгана уу .bakзүгээр л тоо авахын тулд. 8-р алхамаар үргэлжлүүлнэ үү. (Доорх зургийг харна уу)

Алхам 7. Хэрэв танд хоёр ижил түлхүүр байгаа бол нэг нь .bak-гүй, нөгөө нь .bak-тай. (S-1-5-21-19949....-1001 ба S-1-5-21-19949....-1001.bak) .

• A) Бүртгэлийн зүүн талд байгаа товчлуур дээр хулганы баруун товчийг дарна уу .bakмөн цэг, хоёр үсэг нэмнэ .bk(доорх зургийг үзнэ үү).

• B) Одоо товчлуур дээр хулганы баруун товчийг дарна уу .bak, сонгоно уу нэрийг өөрчлөхболон устгах .bakцэгтэй. (доорх зургийг үзнэ үү).

• C) Одоо буцаж очоод эхний товчлуурын нэрийг өөрчил .bk in .bak. Enter дарж 8-р алхамыг дагана уу.

Алхам 8. Нэрийг нь өөрчилсөн түлхүүрийг тодруулна уу .bakгэсэн багананд баруун талд нь давхар товшиж параметрийн тохиргоог нээгээд 0 гэсэн утгыг өгнө. Хэрэв танд ийм параметр байхгүй бол хулганы баруун товчоор хоосон талбар дээр хулганы баруун товчийг дараад DWORD үүсгэнэ үү. (32 бит) утгыг сонгоод RefCount гэж нэрлээд утгыг 0 болгож тохируулна уу.

Алхам 9. Баруун талбараас ямар ч түлхүүрийг сонгоно уу .bakболон параметрт мужутгыг 0 болгож тохируулна уу. Хэрэв тийм параметр байхгүй бол баруун талд байгаа хоосон талбар дээр дарж DWORD үүсгэх (32 бит) дээр дарж нэрийг нь өөрчил. мужмөн утгыг 0 болгож тохируулна уу.

Алхам 10. Компьютерээ дахин эхлүүлснээр Windows 10-д "хэрэглэгчийн профайлын үйлчилгээ нэвтэрч чадсангүй", "хэрэглэгчийн профайлыг ачаалж чадсангүй" гэсэн алдаа алга болно.

Сонголт 2: Бүртгэлд зориулж шинэ хэрэглэгчийн профайлыг устгаад үүсгэнэ үү

Энэ сонголт нь хэрэглэгчийн профайлыг устгах бөгөөд та өөрийн бүх бүртгэлийн тохиргоо болон хувийн тохиргоогоо алдах болно.

1-р алхам. Хэрэв алдаа байхгүй өөр админ бүртгэл байгаа бол одоогийн бүртгэлээс (жишээ нь: сайт) гарч админ данс руугаа нэвтэрнэ үү.

Хэрэв танд нэвтрэх өөр админ бүртгэл байхгүй бол доорх сонголтуудын аль нэгийг ашиглан суулгасан админ бүртгэлийг идэвхжүүлж, доорх 2-р алхам руу шилжинэ үү.

• ГЭХДЭЭ). Аюулгүй горимд ачаалж, суулгасан администраторыг идэвхжүүлж, гарч, администратор руу нэвтэрнэ үү.
• B). Ачаалах үед тушаал хүлээх цонхыг нээгээд, суулгасан администраторыг идэвхжүүлж, компьютерээ дахин эхлүүлж, администратор руу нэвтэрнэ үү.

Алхам 2. Тухайн хэрэглэгчийн бүртгэлийн C:\Users\(хэрэглэгчийн нэр) хавтсанд (жишээ нь: сайт) алдахыг хүсэхгүй байгаа зүйлээ өөр байршилд нөөцлөөрэй. Дуусмагц C:\Users\(хэрэглэгчийн нэр) хавтсыг устгана уу.

Алхам 3. Windows + R товчийг дарж Run харилцах цонхыг нээж, regedit гэж бичээд OK дарна уу.

Алхам 4. Бүртгэлийн засварлагчаас доорх байршил руу очно уу.

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

Алхам 5. Зүүн талын самбарт, ProfileList хэсэгт данс амжилтгүй болсон урт товчлуур дээр дарна уу. Профайл баруун талд харагдаж байна.

Алхам 6. .bak-тай, .bak алдаагүй профайлыг устгана уу. Жишээлбэл ( S-1-5-21-19949....-1001 ба S-1-5-21-19949....-1001.bak) - устгах.

Алхам 7. Бүртгэлийн засварлагчийг хааж, компьютерээ дахин эхлүүлсний дараа энэ нь шинэ хэрэглэгчийг автоматаар дахин үүсгэх болно.

"Хэрэглэгчийн профайлыг ачаалах боломжгүй" гэсэн асуудлыг энгийн аргаар шийдье

Арга 1. Энэ арга нь хүн бүрт тохирохгүй ч олон хүнд тусалсан. Нөөц хуулбар үүсгэхийн тулд хавтас (C:\Users\) дотор байгаа баримтуудаа өөр газар хуулж үзээрэй. Асуудал нь ихэвчлэн "C:\Users\Default" хавтсанд байрлах "NTUSER.DAT" файлын гэмтлийн улмаас үүсдэг. Энэ асуудлыг шийдэхийн тулд та "NTUSER.DAT" файлыг өөр профайлаар солих хэрэгтэй. .

1. Аюулгүй горимд ажиллаж байгаа профайлын бүртгэлээр системд нэвтэрнэ үү.
2. (C:\Users\Default) "NTUSER.DAT" файлыг олоод .DAT өргөтгөлийн нэрийг .OLD болгож өөрчил. байх ёстой (NTUSER.OLD).
3. "Зочин", "Ерөнхий" гэх мэт ажлын профайлаас "NTUSER.DAT" файлыг олоорой. Жишээ (C:\Users\Guest\NTUSER.DAT).
4. Үүнийг хуулж C:\Users\Default гэсэн үндсэн хавтсанд буулгана уу.
5. Компьютерийг дахин эхлүүлэхийн тулд.

Та энэ файлыг Windows-ийн ижил хувилбартай өөр компьютерээс хуулж аваад C:\Users\Default зам дагуу өөртөө буулгаж болно.

Арга 2. Та "C:\Users\" хавтсыг бүхэлд нь өөр компьютерээс солихыг оролдож болно.

• FAT32 форматтай флаш диск аваад өөр компьютерээс C:\Users\ хавтсыг бичээд компьютертээ байршуулна уу.

Хэрэв хэн нэгэн өөр аргаар "Хэрэглэгчийн профайл үйлчилгээ нэвтрэхээс сэргийлдэг" гэсэн алдааг хэрхэн засахыг мэддэг бол "алдааг мэдээлэх" маягт дээр бичнэ үү.

Хэрэглэгчийн профайлын гэмтлийн асуудал нь ихэвчлэн "Нэвтрэх боломжгүй" болон "Та түр профайлаар нэвтэрсэн байна" гэсэн мессеж дагалддаг хамгийн түгээмэл асуудал юм. Тиймээс өнөөдөр бид хэрэглэгчийн профайлыг хэрхэн яаж зохион байгуулсан, түүний эвдрэлд юу хүргэж болох, системийн хэвийн ажиллагааг сэргээхэд ямар арга хэрэглэж болохыг танд хэлэхээр шийдсэн.

Шинж тэмдгүүдээс эхэлье, ямар нэг зүйл буруу болсон анхны шинж тэмдэг бол бичээс юм Windows бэлтгэж байнаоронд нь тавтай морилно уу дэлгэц дээр Тавтай морил.

Дараа нь та зурваст "сэтгэл хангалуун" байх болно "Нэвтрэх боломжгүй"дахин орж, үргэлжлүүлэн ажиллах боломжтой.

Хэрэв бид энэ цонхыг хаавал юу болж байгааг тодруулсан өөр мессежийг харах болно. "Та түр профайлаар нэвтэрсэн байна".

Хэрэв профайл түр зуурынх бол байнгын хэрэглэгчийн профайлыг ямар нэг шалтгаанаар ачаалах боломжгүй байна. Тиймээс бид халуурахгүй, харин хэрэглэгчийн профайл гэж юу болох, ямар өгөгдөл агуулсан, түүнийг ачаалах боломжгүй болсон шалтгаан юу байж болохыг олж мэдэхийг хичээх болно.

Хамгийн эхний ойролцоо байдлаар хэрэглэгчийн профайл нь лавлахын агуулга юм C:\Хэрэглэгчид\Нэр, хаана Нэр- хэрэглэгчийн нэр, тэнд бид хүн бүрт танил фолдеруудыг харах болно Ширээний компьютер, баримт бичиг, татан авалт, хөгжимгэх мэт, түүнчлэн далд хавтас Апплейкшний мэдээллийн бааз.

Профайлын харагдах хэсэгт бүх зүйл тодорхой байна - эдгээр нь хэрэглэгчийн өгөгдлийг байрлуулах стандарт фолдерууд бөгөөд дашрамд хэлэхэд бид тэдгээрийг өөр байршилд аюулгүйгээр дахин хуваарилах боломжтой. Windows-ийн сүүлийн хувилбаруудад та ширээний компьютерийг дахин хуваарилж болно.

Хэрэглэгчид ширээний компьютер дээрээ хэр их ажилладаг, ижил SSD нь резинээс хол байдаг тул энэ нь нэлээд тохиромжтой бөгөөд үндэслэлтэй юм. Гэхдээ энэ нь энэ тухай биш, харин энгийн хэрэглэгчийн нүднээс нуугдаж байгаа зүйл нь илүү сонирхолтой юм.

Хавтас Апплейкшний мэдээллийн баазЭнэ нь суулгасан програмуудын тохиргоо, хэрэглэгчийн өгөгдлийг хадгалахад зориулагдсан бөгөөд эргээд гурван хавтас агуулдаг: орон нутгийн, орон нутгийн багаболон Роуминг.

Тэдгээрийг илүү нарийвчлан авч үзье:

• Роуминг- энэ бол "гэрэл" бөгөөд нэрнээс нь харахад профайлын хөдлөх хэсэг юм. Энэ нь программууд болон хэрэглэгчийн ажлын орчны бүх үндсэн тохиргоог агуулдаг бөгөөд хэрэв сүлжээнд роуминг профайл ашиглаж байгаа бол түүний агуулгыг хуваалцсан нөөц рүү хуулж, дараа нь хэрэглэгчийн нэвтэрсэн ажлын станц руу ачаална.
• Орон нутгийн- Профайлын "хүнд" хэсэг нь кэш, түр файлууд болон зөвхөн одоогийн компьютерт хамаарах бусад тохиргоог агуулдаг. Энэ нь мэдэгдэхүйц хэмжээтэй хүрч чаддаг, сүлжээгээр дамждаггүй.
• орон нутгийн бага- бүрэн бүтэн байдал багатай орон нутгийн өгөгдөл. Энэ тохиолдолд бид дахин нэр томъёоны амжилтгүй орчуулгатай байна бүрэн бүтэн байдлын бага түвшин, үнэндээ бүрэн бүтэн байдлын түвшин нь аюулгүй байдлын өөр нэг механизм юм. Нарийвчилсан мэдээлэлгүйгээр бид системийн өгөгдөл, процессууд нь өндөр бүрэн бүтэн, стандарт хэрэглэгч, бага - аюултай байж болзошгүй гэж хэлж болно. Хэрэв бид энэ хавтсыг харвал хөтөч, флаш тоглуулагч гэх мэт мэдээллийг харах болно. Энд байгаа логик нь энгийн - ямар нэгэн онцгой байдал эсвэл халдлага гарсан тохиолдолд энэ хавтсаас эхлүүлсэн процессууд хэрэглэгчийн өгөгдөлд хандах эрхгүй болно.

Заасан мэдээллийн аль нь завхрал нь профайлыг ачаалахад асуудал үүсгэж болох талаар одоо бодох цаг болсон уу? Аль нь ч биш байх. Тиймээс профайл дээр өөр зүйл байх ёстой. Мэдээжийн хэрэг, хэрэв та дээрх хэрэглэгчийн профайлын дэлгэцийн агшинг анхааралтай ажиглавал бид тэнд байгаа файлыг харах болно NTUSER.DAT. Хэрэв та дэлгэцийг идэвхжүүлбэл хамгаалагдсан системийн файлууд, дараа нь бид ижил төстэй нэртэй файлуудыг бүхэлд нь харах болно.

Энд бид зорилгодоо хүрлээ. Файлд NTUSER.DATбүртгэлийн салбар байдаг HKEY_CURRENT_USERхэрэглэгч бүрийн хувьд. Бүртгэлийн салбарын гэмтэл нь хэрэглэгчийн профайлыг ачаалах боломжгүй болгодог. Гэхдээ бүх зүйл эхлээд харахад тийм ч муу биш юм. Бүртгэл нь болзошгүй алдаанаас маш сайн хамгаалагдсан.

Файлууд ntuser.dat.LOGСүүлд амжилттай ачаалснаас хойшхи бүртгэлийн өөрчлөлтийн бүртгэлийг агуулсан бөгөөд ямар нэгэн асуудал гарсан тохиолдолд буцаах боломжтой. Өргөтгөлтэй файлууд regtrans-msнь гүйлгээний бүртгэл бөгөөд бүртгэлд өөрчлөлт оруулах явцад ажил гэнэт зогссон тохиолдолд бүртгэлийн салбарыг тогтмол хэлбэрээр хадгалах боломжийг олгодог. Энэ тохиолдолд хүлээгдэж буй бүх гүйлгээ автоматаар буцаагдах болно.

Хамгийн бага сонирхол татсан файлууд blf- энэ нь жишээлбэл, ердийн хэрэгсэл бүхий бүртгэлийн салбарыг нөөцлөх бүртгэл юм Систем сэргээх.

Тиймээс, хэрэглэгчийн профайл юунаас бүрдэх, аль хэсэг нь ачаалах боломжгүй болохыг олж мэдээд системийг сэргээх арга замыг авч үзэх болно.

Арга 1: Хэрэглэгчийн профайлын асуудлыг засах

Юуны өмнө, хэрэв та өөрийн акаунт руу нэвтрэхэд асуудалтай байгаа бол системийн эзлэхүүнийг алдаа байгаа эсэхийг шалгаж, үүнийг хийхийн тулд сэргээх консол эсвэл Windows PE руу ачаалж, дараах тушаалыг ажиллуулна уу.

Chkdsk c: /f

Зарим тохиолдолд энэ нь хангалттай байж болох ч бид хамгийн муу тохиолдлыг авч үзэх болно. Дискийг шалгасны дараа системд ачаалж, бүртгэлийн редакторыг нээгээд салбар руу очно уу

Зүүн талд бид төрлийн нэр бүхий хэд хэдэн хэсгийг харах болно S-1-5мөн хэрэглэгчийн профайлтай тохирох урт "сүүл". Аль профайл аль хэрэглэгчдэд хамаарахыг тодорхойлохын тулд түлхүүрийг анхаарч үзээрэй ProfileImagePathбаруун талд:

Тиймээс, хүссэн профайл олдсон тул бид зүүн талд байгаа модыг дахин харж байгаа бөгөөд энэ нь хоёр мөчиртэй байх ёстой бөгөөд тэдгээрийн нэг нь төгсгөлтэй байна. бак.

Одоо бидний даалгавар бол үндсэн профайлын нэрийг өөрчлөх явдал юм бак, a бакүндсэндээ. Үүнийг хийхийн тулд үндсэн профайлд дурын өргөтгөл нэмнэ үү .ba, дараа нь нөөц профайлыг нэрнээс нь хасаж үндсэн профайлын нэрийг өөрчил .bak, дахин нэрийг нь өөрчил ба in бак.

Дашрамд хэлэхэд, таны дансанд зөвхөн салбар байх тохиолдол байж болно бак, энэ тохиолдолд зөвхөн түүний өргөтгөлийг устгана уу.

Дараа нь бид шинэ үндсэн профайлаас хоёр түлхүүрийг олно RefCountболон мужхоёуланг нь тэг болгож тохируулна уу.

Бид дахин ачаална. Ихэнх тохиолдолд, хэрэв профиль ноцтой гэмтээгүй бол эдгээр алхмууд амжилттай болно, эс тэгвээс 2-р арга руу орно.

Арга 2. Шинэ профайл үүсгээд тэнд хэрэглэгчийн өгөгдлийг хуулна

Microsoft-ын албан ёсны баримт бичиг нь энэ тохиолдолд шинэ данс үүсгэж, профайлын өгөгдлийг тэнд хуулахыг зөвлөж байна. Гэхдээ энэ арга нь бүхэл бүтэн асуудлуудыг үүсгэдэг, учир нь шинэ хэрэглэгч бол аюулгүй байдлын шинэ субьект тул бид шууд нэвтрэх эрхийн асуудалтай тулгардаг, үүнээс гадна бид бүх сүлжээний дансыг дахин холбож, дахин импортлох шаардлагатай болно. хувийн гэрчилгээ, экспорт-импортын шуудан (хэрэв та Outlook ашиглаж байгаа бол). Ерөнхийдөө хангалттай зугаа цэнгэл байх болно, энэ нь бүх асуудлыг амжилттай даван туулж чадна гэдэг нь үнэн биш юм.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

мөн таны профайлтай холбоотой бүх салбарыг устгана уу. Бид дахин ачаална.

Үүний дараа Windows таны бүртгэлд анх удаа нэвтэрч байгаа мэт шинэ профайл үүсгэх болно. Гэхдээ таны аюулгүй байдлын танигч (SID) өөрчлөгдөөгүй хэвээр байх бөгөөд та дахин өөрийн бүх объект, гэрчилгээ гэх мэт өмчлөгч болно.

Цаашдын үйлдлүүдийн хувьд танд администраторын эрхтэй өөр бүртгэл хэрэгтэй болно, үүнийг үүсгэцгээе, бидний тохиолдолд энэ нь данс юм температур.

Үүний дараа бид үндсэн бүртгэлээсээ гарч (эсвэл дахин ачаалах) дэд дансаа оруулна. Бидний даалгавар бол NTUSER файлаас бусад хуучин профайл хавтасны бүх агуулгыг шинэ хавтас руу хуулах явдал юм. Эдгээр зорилгын үүднээс администраторын эрхээр эхлүүлсэн файлын менежерийг (Total Commander, Far гэх мэт) ашиглах нь дээр.

Хуулбарлах процессын төгсгөлд бид данс руугаа дахин нэвтэрч, дансны ажиллагааг шалгана. Бүх өгөгдөл болон тохиргоонууд буцаж байрандаа байх ёстой. Гэсэн хэдий ч хуучин хавтас болон нэмэлт бүртгэлийг устгах гэж бүү яар, зарим өгөгдлийг дахин шилжүүлэх шаардлагатай байж магадгүй юм. Энэ нь эвдэрсэн бүртгэлийн салбар дахь тохиргоог хадгалдаг зарим программууд шинэ суулгац дууссан гэж үзэж, шилжүүлсэн файлуудыг дарж бичдэгтэй холбоотой байж болох бөгөөд энэ тохиолдолд шаардлагатай өгөгдлийг сонгон хуулж авахад хангалттай.

Системтэй хэсэг хугацаанд ажиллаж, бүх зүйл байгаа эсэхийг шалгасны дараа хуучин хавтас болон нэмэлт бүртгэлийг устгаж болно.

• Шошго:

Таны мэдэж байгаагаар Windows үйлчилгээнүүд нь үйлдлийн систем рүү халддаг хамгийн дуртай газруудын нэг юм. Хамгийн муу (мэдээж бидний хувьд) тохиолдолд халдагчид халдлагад өртсөн компьютер дээр хакердсан үйлчилгээ ажиллаж байгаа дансны хүрээнд ажиллах боломжтой болдог. Хэрэв энэ данс нь захиргааны эрхтэй бол халдагчид компьютерийг бүрэн удирддаг. Windows-ийн хувилбараас хувилбар хүртэл үйлчилгээний нэмэлт тусгаарлалтыг хангадаг шинэ механизмууд гарч ирдэг бөгөөд үүний үр дүнд системийн аюулгүй байдлыг бүхэлд нь бэхжүүлдэг. Сүүлийн хэдэн жилийн хугацаанд энэ чиглэлд юу үндсээр нь өөрчлөгдсөнийг товч дурдмаар байна.

Үйлчилгээний хамгаалалтын механизмд гарсан анхны томоохон өөрчлөлтүүд нь Windows XP Service Pack 2 дээр гарч ирэв. Одоо төсөөлөхөд бэрх ч SP2 гарахаас өмнө үйлдлийн системийн бүх үйлчилгээнүүд өөрөө суурилагдсан Local System дансны хүрээнд ажиллаж байсан. , энэ нь компьютер дээрх хамгийн бүрэн удирдлагын эрхтэй. SP2 нь орон нутгийн үйлчилгээ болон сүлжээний үйлчилгээ гэсэн хоёр нэмэлт оруулга нэмсэн. Бүртгэгдсэн гурван бичлэгийн үндсэн ялгааг Хүснэгтээс харж болно. нэг.

Хүснэгт 1

Үүний дагуу, Windows XP SP2-ээс эхлэн администратор уг үйлчилгээг суулгасан бүртгэл, локал данс эсвэл домэйн дансны аль нэгний хүрээнд ажиллуулахаар тохируулж болно. Гэсэн хэдий ч ихэнх Windows үйлчилгээнүүд нь Орон нутгийн системийн нөхцөлд ажилладаг хэвээр байна. Гэсэн хэдий ч үүнээс гадна хэд хэдэн үйлчилгээ нэг дансны хүрээнд ажиллаж байгаа нөхцөл байдал нь нэг үйлчилгээнд амжилттай халдлага хийх нь захиргааны эрхгүй байсан ч халдагчийн хандах боломжтой бусад нөөцийг ил гаргахад хүргэдэг. үйлчилгээний данс.

Windows Vista нь үйлчилгээний тусгаарлалтыг нэмэгдүүлэх хэд хэдэн механизмыг нэвтрүүлсэн. Би хоёр цагт зогсоно.
Эхний механизм нь үйлчилгээний өвөрмөц аюулгүй байдлын танигч (Service SID) юм. Энэхүү SID нь SHA-1 алгоритмыг ашиглан үйлчилгээний нэрийг хэшлэх замаар үйлчилгээ тус бүрт зориулж үүсгэгддэг. Үр дүн нь S-1-5-80- гэсэн угтвартай. Та үйлчилгээний нэрээр sc showid командыг ашиглан үйлчилгээний SID-г харж болно (Зураг 1-ийг үз).
Цагаан будаа. нэг

Жишээлбэл, та W32Time үйлчилгээг туршиж үзэх боломжтой. Зөвшөөрлийн тохиргоонд (зөвшөөрөл) NTFS дээрх дурын фолдерын хувьд та зөвхөн хэрэглэгчийн нэрийг NT SERVICE\ форматаар оруулахад л хангалттай.<имя службы>, манай тохиолдолд NT SERVICE\w32time (Зураг 2-ыг үз).

Цагаан будаа. 2

Нэрийг шалгах товчийг дараад OK дээр дарж, эрх олгож болох хэрэглэгчийг харна уу (3-р зургийг үз).

Цагаан будаа. 3

Дахин хэлэхэд w32time нь хэрэглэгчийн объект биш юм. Энэ нь SID боловч хэрэв тийм бол график интерфэйс болон тушаалын мөрөнд болон программын хувьд ACL-д ашиглагдаж болно. Нэмж дурдахад, үйлчилгээний SID-г Windows галт ханын тохиргоонд ашиглаж, тодорхой нэг үйлчилгээнд, эс тэгвээс тодорхой үйлчилгээний SID-д тодорхой дүрмийг хэрэглэж болно.

Vista-д нэвтрүүлсэн хоёр дахь өөрчлөлт нь SID-ийн шинэ төрөл болох Write Restricted SID юм. Хэрэв үйлчилгээ нь бичих хязгаарлагдмал SID төрлөөр тэмдэглэгдсэн бол түүний SID нь өөрийн хандалтын токен дээр тусгай жагсаалт - Хязгаарлагдмал SID жагсаалтад нэмэгддэг. Ийм үйлчилгээ нь файлд ямар нэг зүйл бичихийг оролдох үед хандалтын эрхийг шалгах алгоритм бага зэрэг өөрчлөгддөг. Тухайлбал, энэ үйлчилгээний SID эсвэл Everyone бүлэгт бичих зөвшөөрлийг тодорхой өгсөн тохиолдолд л үйлчилгээ нь файл руу бичих боломжтой болно.
Жишээлбэл, зарим Service1-ийн ServiceAccount1 нь Group1-ийн гишүүн юм. Group1, зөвхөн Group1 нь Фолдер1 дээр бичих зөвшөөрөлтэй. Хэрэв үйлчилгээ нь Folder1-д ямар нэг зүйлийг өөрчлөхийг оролдвол яах вэ? Ердийн нөхцөлд ServiceAccount1 нь Group1-ийн гишүүн байх зардлаар хавтас руу бичих боломжтой болно. Гэхдээ хэрэв Service1 нь бичих хязгаарлагдмал SID төрлөөр тэмдэглэгдсэн бол түүний хандалтын токен нь өөрөөр зохицуулагддаг бөгөөд бичих зөвшөөрөл, мөн Хүн бүр зөвшөөрөл олгоогүй тул хавтас руу юу ч бичиж чадахгүй.
Та sc qsidtype командыг ашиглан SID төрлийг харж болно (Зураг 4-ийг үз).

Цагаан будаа. 4

Ялангуяа, Зураг дээр. 4, та Windows Firewall үйлчилгээ нь дурдсан төрөлд хамаарах болохыг харж болно. Мэдээжийн хэрэг, энэ төрлийг амжилттай хакердсан тохиолдолд үйлчилгээний чадавхийг (ямар нэгэн зүйлийг устгах эсвэл дарж бичих чадвар) цаашид хязгаарлах зорилгоор нэвтрүүлсэн. Энэ механизм нь үндсэндээ системийн администраторуудад зориулагдаагүй, харин үйлчилгээ хөгжүүлэгчдэд зориулагдсан гэдгийг нэмж хэлэх хэрэгтэй. Зүгээр л ашиглах гэж.

Windows 7 болон Windows Server 2008 R2 дээр үйлчилгээг тусгаарлах ажил үргэлжилж байна. Виртуал данс (виртуал данс) болон удирддаг үйлчилгээний данс (удирдлагатай үйлчилгээний данс) байдаг. Тэгээд үнэндээ асуудал юу вэ? Бид үйлчилгээг тусгаарлах хэрэгтэй - шаардлагатай тооны локал (эсвэл домэйн) хэрэглэгчийн бүртгэлийг үүсгэцгээе. Чухал үйлчилгээ бүр өөрийн гэсэн данстай байдаг. Тийм ээ, энэ бол шийдэл юм. Гэхдээ сүлжээний нөөцөд хандах шаардлагагүй орон нутгийн үйлчилгээний хувьд та урт, төвөгтэй нууц үгийг гараар тохируулах ёстой. Мөн тэдгээрийг гараар үе үе шинэчил. Бид бүгд аюулгүй байдлын төлөө байгаа болохоор. Домэйн дансны хүрээнд сүлжээгээр дамжуулан нөөцөд хандах шаардлагатай үйлчилгээнүүдийн хувьд үйлчилгээ тус бүрд өөр өөр үйлчилгээний үндсэн нэрийг (SPN) бүртгүүлэх шаардлагатай. Энэ нь тав тухтай биш юм. Гэхдээ хугацаа нь дууссан нууц үгийн улмаас үйлчилгээ эхлэх боломжгүй үед хүндрэл гардаг. Админ нь түүний нууц үгийг солихоо мартчихаж.

Тиймээс орон нутгийн үйлчилгээний хувьд та виртуал данс ашиглаж болно. Виртуал акаунт нь зөвхөн тодорхой үйлчилгээг ажиллуулах, ялангуяа тодорхой үйлчилгээний аюулгүй байдлын контекстийг бий болгоход ашиглагддаг. Компьютерийн менежментийн хэрэглэгчдийн дунд энэ оруулгыг та олохгүй. Гэсэн хэдий ч энэ нь өөрийн гэсэн өвөрмөц SID, өөрийн хэрэглэгчийн профайлтай данс юм. Тиймээс та түүнд зөвшөөрөл олгож, улмаар нэвтрэх эрхийг ялгаж, тодорхой хянах боломжтой. Орон нутгийн систем, орон нутгийн үйлчилгээ, сүлжээний үйлчилгээтэй адил үйлдлийн систем нь виртуал дансны нууц үгийг удирдах ажлыг хариуцдаг. Бид шаардлагатай үйлчилгээг тусгаарлаж, нууц үгийн талаар толгой өвдөхгүй байна.

Виртуал акаунт үүсгэхийн тулд та үйлчилгээний тохиргоонд бүртгэл гэж зааж өгөх хэрэгтэй: NT SERVICE\<имя службы>(5-р зургийг үз)

Цагаан будаа. 5

Үйлчилгээг эхлүүлсний дараа виртуал данс нь үйлчилгээний консол дээр гарч ирэх болно (Зураг 6), Хэрэглэгчийн хавтсанд та шинэ хэрэглэгчийн профайл гарч ирэхийг анзаарах болно.
Цагаан будаа. 6

Формат нь үйлчилгээний SID-тэй маш төстэй юм. Гэхдээ энэ бол Vista дээрх шиг үйлчилгээний нэмэлт өвөрмөц SID биш, энэ нь тусдаа данс бөгөөд үүний дагуу тусгаарлах өөр түвшин гэдгийг би онцолж байна. Анхдагч байдлаар, виртуал дансуудыг жишээ нь Windows Server 2008 R2 дээрх IIS 7.5 програмын санд ашигладаг. Виртуал данс нь орон нутгийн хэрэглээнд зориулагдсан гэдгийг санаарай. Хэрэв виртуал дансны контекст дээр ажиллаж байгаа үйлчилгээ нь сүлжээгээр нэвтэрсэн бол энэ хандалт нь тухайн үйлчилгээ ажиллаж байгаа компьютерийн дансны нэрийн өмнөөс хийгдэнэ. Хэрэв үйлчилгээ, жишээлбэл SQL Server нь домэйн дансны нэрийн өмнөөс сүлжээгээр ажиллах шаардлагатай бол удирддаг үйлчилгээний дансууд энд туслах болно. Гэсэн хэдий ч тэдэнтэй холбоотой илүү нарийн зүйлүүд байдаг бөгөөд тэдгээрийг авч үзэх нь энэ нийтлэлийн хамрах хүрээнээс гадуур юм. MSA-ийн талаар илүү ихийг олж мэдэх