Probleme im Zusammenhang mit der Beschädigung von Benutzerprofilen gehören zu den häufigsten und werden normalerweise von den Meldungen „Anmeldung bei Ihrem Konto nicht möglich“ und „Sie sind mit einem temporären Profil angemeldet“ begleitet. Aus diesem Grund haben wir uns heute entschlossen, Ihnen zu erklären, wie das Benutzerprofil aufgebaut ist, was zu dessen Beschädigung führen kann und mit welchen Methoden der normale Betrieb des Systems wiederhergestellt werden kann.

Beginnen wir mit den Symptomen. Das erste Anzeichen dafür, dass etwas schief gelaufen ist, ist die Inschrift Windows vorbereiten stattdessen auf dem Begrüßungsbildschirm Willkommen zurück.

Dann werden Sie über eine Nachricht „begeistert“. „Die Anmeldung bei Ihrem Konto ist nicht möglich“ mit Optionen zum Wiedereinstieg und Weiterarbeiten.

Wenn wir dieses Fenster schließen, sehen wir eine weitere Meldung, die ein wenig Licht auf das Geschehen wirft „Sie sind mit einem temporären Profil angemeldet“.

Wenn das Profil temporär ist, stellt sich heraus, dass das permanente Benutzerprofil aus irgendeinem Grund nicht geladen werden konnte. Lassen wir uns also nicht übertreiben, sondern versuchen wir herauszufinden, was ein Benutzerprofil ist, welche Daten es enthält und was der Grund dafür sein könnte, dass es nicht geladen werden kann.

In allererster Näherung ist das Benutzerprofil der Inhalt des Verzeichnisses C:\Benutzer\Name, Wo Name- Benutzername, dort sehen wir die jedem bekannten Ordner Desktop, Dokumente, Downloads, Musik usw. sowie einen versteckten Ordner Anwendungsdaten.

Mit dem sichtbaren Teil des Profils ist alles klar – das sind Standardordner zum Speichern von Benutzerdaten, wir können sie übrigens problemlos an einen anderen Ort zuweisen. IN letzte Version Windows kann sogar den Desktop neu zuweisen.

Das ist durchaus praktisch und gerechtfertigt, wenn man bedenkt, wie viel Daten die Benutzer auf ihren Desktops speichern, und dieselben SSDs alles andere als gummiartig sind. Aber das ist nicht das, worüber wir reden; viel interessanter ist, was den Augen des durchschnittlichen Benutzers verborgen bleibt.

Ordner Anwendungsdaten dient zum Speichern von Einstellungen und Benutzerdaten installierter Programme und enthält wiederum drei weitere Ordner: Lokal, LocalLow Und Wandernd.

Schauen wir sie uns genauer an:

• Wandernd- Dies ist ein „leichter“ und, wie der Name schon sagt, ein beweglicher Teil des Profils. Es enthält alle grundlegenden Programmeinstellungen und Arbeitsumfeld Benutzer: Wenn das Netzwerk Roaming-Profile verwendet, werden die Inhalte auf eine freigegebene Ressource kopiert und dann auf jede Arbeitsstation geladen, auf der der Benutzer angemeldet ist.
• Lokal- der „schwere“ Teil des Profils, enthält Cache, temporäre Dateien und andere Einstellungen, die nur für den aktuellen PC gelten. Es kann beträchtliche Größen erreichen und bewegt sich nicht über das Netzwerk.
• LocalLow- lokale Daten mit geringer Integrität. IN in diesem Fall wir haben wieder eine erfolglose Übersetzung des Begriffs niedriges Integritätsniveau Tatsächlich sind Integritätsstufen ein weiterer Sicherheitsmechanismus. Ohne auf Details einzugehen, können wir sagen, dass Systemdaten und -prozesse eine hohe Integrität, eine Standardintegrität für den Benutzer und eine niedrige Integrität für potenziell gefährliche Daten aufweisen. Wenn wir in diesen Ordner schauen, sehen wir dort Daten zu Browsern, Flash-Playern usw. Die Logik hier ist einfach: Im Falle eines Notfalls oder Angriffs haben Prozesse, die in diesem Ordner ausgeführt werden, keinen Zugriff auf Benutzerdaten.

Jetzt ist es an der Zeit, darüber nachzudenken, welche der angegebenen Daten beschädigt werden und zu Problemen beim Laden des Profils führen können. Wahrscheinlich keine. Daher muss im Profil noch etwas anderes stehen. Natürlich ist es das, und wenn wir uns den Screenshot des Benutzerprofils oben genau ansehen, werden wir dort eine Datei sehen NTUSER.DAT. Wenn Sie das Display einschalten geschützte Systemdateien, dann sehen wir eine ganze Reihe von Dateien mit ähnlichen Namen.

Jetzt kommen wir zum Punkt. Im Ordner NTUSER.DAT Es gibt einen Registrierungszweig HKEY_CURRENT_USER für jeden Benutzer. Und es ist die Beschädigung des Registrierungszweigs, die es unmöglich macht, das Benutzerprofil zu laden. Aber nicht alles ist so schlimm, wie es auf den ersten Blick scheinen mag. Die Registry ist recht gut vor möglichen Ausfällen geschützt.

Dateien ntuser.dat.LOG enthalten ein Protokoll der Registrierungsänderungen seit dem letzten erfolgreichen Start, sodass bei Problemen ein Rollback möglich ist. Dateien mit der Erweiterung regtrans-ms sind ein Transaktionsprotokoll, das es Ihnen ermöglicht, einen Registrierungszweig im Falle eines plötzlichen Stopps beim Vornehmen von Änderungen an der Registrierung in konsistenter Form aufrechtzuerhalten. In diesem Fall werden alle ausstehenden Transaktionen automatisch zurückgesetzt.

Die Dateien sind von geringstem Interesse blf- Hierbei handelt es sich um ein Sicherungsprotokoll eines Registrierungszweigs, beispielsweise mit einem Standardtool Systemwiederherstellung.

Nachdem wir also herausgefunden haben, woraus das Benutzerprofil besteht und welcher Teil beschädigt ist und ein Booten unmöglich macht, werden wir Möglichkeiten zur Wiederherstellung des Systems in Betracht ziehen.

Methode 1: Beheben Sie das Problem im Benutzerprofil

Wenn Sie Probleme beim Anmelden bei Ihrem Konto haben, sollten Sie dazu zunächst das Systemvolume auf Fehler überprüfen, die Wiederherstellungskonsole oder die Windows PE-Umgebung starten und den folgenden Befehl ausführen:

Chkdsk c: /f

In manchen Fällen mag dies ausreichend sein, wir gehen jedoch vom Worst-Case-Szenario aus. Nachdem Sie die Festplatte überprüft haben, starten Sie das System, öffnen Sie den Registrierungseditor und gehen Sie zur Verzweigung

Auf der linken Seite sehen wir eine Reihe von Abschnitten mit dem Typnamen S-1-5 und ein langer Schwanz, der Benutzerprofilen entspricht. Um festzustellen, welches Profil zu welchem ​​Benutzer gehört, achten Sie auf den Schlüssel ProfileImagePath rechts:

Das benötigte Profil ist also gefunden, nun schauen wir uns noch einmal den Baum links an, der zwei Zweige enthalten sollte, von denen einer endet backen.

Jetzt besteht unsere Aufgabe darin, das Hauptprofil in umzubenennen backen, A backen im Hauptteil. Fügen Sie dazu beispielsweise eine beliebige Erweiterung zum Hauptprofil hinzu .ba, benennen Sie dann das Sicherungsprofil in das Hauptprofil um und entfernen Sie es aus seinem Namen .bak, und erneut umbenennen ba V backen.

Übrigens kann es Situationen geben, in denen für Ihr Konto nur ein Thread existiert backen, in diesem Fall entfernen Sie einfach die Erweiterung.

Dann finden wir im neuen Hauptprofil zwei Schlüssel RefCount Und Zustand und beide Werte auf Null setzen.

Lass uns neu starten. Wenn das Profil nicht ernsthaft beschädigt ist, führen diese Schritte in den meisten Fällen zum Erfolg, andernfalls fahren Sie mit Methode 2 fort.

Methode 2. Erstellen Sie ein neues Profil und kopieren Sie die Benutzerdaten dorthin

In diesem Fall empfiehlt die offizielle Microsoft-Dokumentation, ein neues Konto zu erstellen und Ihre Profildaten dorthin zu kopieren. Dieser Ansatz wirft jedoch eine ganze Reihe von Problemen auf Neuer Benutzer- Dies ist ein neues Sicherheitsthema, und daher treten sofort Probleme mit den Zugriffsrechten auf. Außerdem müssen wir alle Netzwerkkonten erneut verbinden, persönliche Zertifikate erneut importieren und E-Mails exportieren und importieren (wenn Sie Outlook verwenden). . Im Allgemeinen wird es genügend Unterhaltung geben und es ist keine Tatsache, dass alle Probleme erfolgreich gelöst werden können.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

und löschen Sie alle Zweige, die sich auf Ihr Profil beziehen. Lass uns neu starten.

Windows erstellt dann ein neues Profil für Ihr Konto, so als ob Sie sich zum ersten Mal anmelden würden. dieses System. Ihre Sicherheitskennung (SID) bleibt jedoch unverändert, Sie sind wieder Eigentümer aller Ihrer eigenen Objekte, Zertifikate usw. usw.

Für Weitere Maßnahmen Sie benötigen ein weiteres Konto mit Administratorrechten. Erstellen Sie es. In unserem Fall ist dies das Konto Temp.

Dann melden wir uns von unserem Hauptkonto ab (oder starten neu) und melden uns bei unserem Nebenkonto an. Unsere Aufgabe besteht darin, den gesamten Inhalt des alten Profilordners mit Ausnahme der NTUSER-Dateien in den neuen Ordner zu kopieren. Für diese Zwecke ist es besser, einen Dateimanager (Total Commander, Far usw.) zu verwenden, der mit Administratorrechten ausgeführt wird.

Melden Sie sich am Ende des Kopiervorgangs erneut bei Ihrem Konto an und überprüfen Sie die Funktionsfähigkeit des Kontos. Alle Daten und Einstellungen sollten wieder vorhanden sein. Beeilen Sie sich jedoch nicht, den alten Ordner und das zusätzliche Konto zu löschen. Möglicherweise müssen einige Daten erneut übertragen werden. Dies kann daran liegen, dass einige Programme, die Einstellungen im beschädigten Registrierungszweig speichern, möglicherweise entscheiden, dass die neue Installation und überschreiben Sie die übertragenen Dateien. In diesem Fall reicht es aus, die erforderlichen Daten selektiv zu kopieren.

Nachdem Sie einige Zeit mit dem System gearbeitet haben und sicher sind, dass alles ordnungsgemäß funktioniert und funktioniert, können Sie den alten Ordner und das zusätzliche Konto löschen.

• Stichworte:

Bitte aktivieren Sie JavaScript, um das anzuzeigen

Die Beschädigung von Benutzerkonten ist ein häufiges Windows-Problem. Das Problem tritt auf, wenn Sie auf dem Sperrbildschirm ein Passwort oder eine PIN eingeben und beim Drücken der Eingabetaste die Fehlermeldung „Benutzerprofildienst konnte sich nicht anmelden. Das Benutzerprofil konnte nicht geladen werden“ in Windows 10 erhalten oder der Benutzerprofildienst Sie daran hindert von der Anmeldung in Windows 7. .

Beheben des Problems „Benutzerprofildienst konnte sich nicht anmelden“ mithilfe des Registrierungseditors

Option 1: Korrigieren Sie das Benutzerkontoprofil

Manchmal kann es vorkommen, dass Ihr Konto beschädigt ist und Sie dadurch nicht auf Dateien in Windows 10 zugreifen können. Gehen wir über den abgesicherten Modus auf verschiedene Arten zum Registrierungseditor:

Schritt 1. Drücken Sie die Tastenkombination „ Fenster + R" um den Befehl „run“ aufzurufen und den Befehl einzugeben regedit um in die Registrierung einzutreten.

Schritt 2. Folgen Sie im sich öffnenden Fenster dem Pfad:

Schritt 3. Der Parameter enthält mehrere Schlüssel s-1-5. Sie müssen den längsten Schlüssel mit einer langen Zahlenreihe und Ihr Konto auswählen, bei dem der Fehler „Anmeldung beim Benutzerprofildienst fehlgeschlagen“ auftritt. Stellen Sie sicher, dass der Pfad korrekt ist, klicken Sie auf die lange Taste und in der rechten Spalte sollte ein Name stehen. Wenn Sie ihn nicht gefunden haben, scrollen Sie durch alle langen Tasten, bis Sie in der rechten Spalte auf Ihr defektes Profil stoßen , in meinem Fall ein Konto .

Schritt 4. Wenn Sie den Benutzerprofilordner C:\User\site des betroffenen Kontos fälschlicherweise umbenannt haben, öffnen Sie den Explorer entlang des Pfads C:\User\site, klicken Sie mit der rechten Maustaste auf das fehlerhafte Profil und wählen Sie es aus umbenennen und geben Sie manuell den korrekten Profilnamen (Site) ein. Gehen Sie nach dem Umbenennen zurück zum Ordner in der Registrierung und stellen Sie sicher, dass der Name wie im Bild (Schritt 3) C:\Benutzer\site geschrieben wird.

Sehen Sie sich zwei Optionen an, Schritt 6 und Schritt 7, je nachdem, wer Sie sind

Schritt 5. Jetzt machen wir zwei Möglichkeiten, wenn wir einen langen Schlüssel S-1-5-21-19949....-1001 haben. backen(Erweiterung .bak am Ende) und mit der zweiten ohne .bak diese. nur S-1-5-21-19949....-1001. Je nachdem, wer zwei oder ein Profil in der Reihe hat.

Schritt 6. Es gibt nur einen Schlüssel am Ende von s.bak (S-1-5-21-19949....-1001.bak).

• A) Wenn Sie am Ende nur einen Schlüssel haben .bak(S-1-5-21-19949....-1001.bak), klicken Sie mit der rechten Maustaste darauf und klicken Sie auf Umbenennen. (siehe Bild unten).

• B) Löschen Sie das Wort selbst mit einem Punkt .bak damit Sie nur Zahlen erhalten. Fahren Sie mit Schritt 8 fort. (siehe Bild unten)

Schritt 7. Wenn Sie zwei identische Schlüssel haben, einen ohne .bak, den zweiten mit .bak. (S-1-5-21-19949....-1001 und S-1-5-21-19949....-1001.bak) .

• A) Klicken Sie im linken Bereich der Registrierung mit der rechten Maustaste auf den Schlüssel ohne .bak und fügen Sie einen Punkt und zwei Buchstaben hinzu .bk(siehe Bild unten).

• B) Klicken Sie nun mit der rechten Maustaste auf die Taste .bak, wählen umbenennen und löschen .bak mit einem Punkt. (siehe Bild unten).

• B) Gehen Sie nun zurück und benennen Sie den ersten Schlüssel mit um .bk V .bak. Drücken Sie die Eingabetaste und fahren Sie mit Schritt 8 fort.

Schritt 8. Wählen Sie den Schlüssel aus, den Sie ohne umbenannt haben .bak und von rechts in die Spalte doppelklicken, um die Parametereinstellungen zu öffnen, und den Wert 0 zuweisen. Wenn Sie keinen solchen Parameter haben, dann klicken Sie mit der rechten Maustaste auf das leere Feld und erstellen Sie ein DWORD ( 32-Bit-Parameter, benennen Sie ihn in RefCount um und setzen Sie den Wert auf 0.

Schritt 9. Wählen Sie im rechten Feld den Schlüssel ohne aus .bak und im Parameter Zustand Setzen Sie den Wert auf 0. Wenn kein solcher Parameter vorhanden ist, klicken Sie auf das leere Feld rechts und klicken Sie auf „DWORD erstellen (32-Bit)“ und benennen Sie es in um Zustand und setzen Sie den Wert auf 0.

Schritt 10. Starten Sie Ihren Computer neu und die Fehler „Benutzerprofildienst konnte sich nicht anmelden“ und „Benutzerprofil konnte nicht geladen werden“ in Windows 10 sollten verschwinden.

Option 2: Löschen Sie das Benutzerprofil und erstellen Sie ein neues Benutzerprofil für das Konto

Durch diese Option wird Ihr Benutzerprofil gelöscht, wodurch alle Ihre Kontoeinstellungen und Personalisierungen verloren gehen.

Schritt 1. Wenn es ein anderes Administratorkonto gibt, bei dem kein Fehler vorliegt, melden Sie sich vom aktuellen Konto (z. B. Site) ab und melden Sie sich beim Administratorkonto an.

Wenn Sie kein anderes Administratorkonto haben, bei dem Sie sich anmelden können, können Sie eine der folgenden Optionen verwenden, um das integrierte Administratorkonto für die Anmeldung zu aktivieren, und mit Schritt 2 unten fortfahren.

• A). Booten Sie hinein Sicherheitsmodus, aktivieren Sie den integrierten Administrator, melden Sie sich ab und wieder beim Administrator an.
• B). Öffnen Sie beim Booten ein Eingabeaufforderungsfenster, aktivieren Sie den integrierten Administrator, starten Sie Ihren Computer neu und melden Sie sich beim Administrator an.

Schritt 2. Sichern Sie alles, was Sie nicht verlieren möchten, im Profilordner C:\Benutzer\(Benutzername) (z. B. Website) des entsprechenden Benutzerkontos an einem anderen Ort. Wenn Sie fertig sind, löschen Sie den Ordner C:\Benutzer\(Benutzername).

Schritt 3. Drücken Sie die Tasten Windows + R, um das Dialogfeld „Ausführen“ zu öffnen, geben Sie regedit ein und klicken Sie auf „OK“.

Schritt 4. Navigieren Sie im Registrierungseditor zum folgenden Speicherort.

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

Schritt 5. Klicken Sie im linken Bereich der Profilliste auf die lange Taste, bei der ein Kontofehler vorliegt. Das Profil ist rechts sichtbar.

Schritt 6. Fehlerprofile mit.bak und ohne.bak löschen. Z.B ( S-1-5-21-19949....-1001 und S-1-5-21-19949....-1001.bak)-löschen.

Schritt 7. Schließen Sie den Registrierungseditor und starten Sie Ihren Computer neu. Anschließend wird der neue Benutzer automatisch neu erstellt.

Lassen Sie uns das Problem „Benutzerprofil kann nicht geladen werden“ auf einfache Weise lösen

Methode 1. Diese Methode Es funktioniert nicht bei jedem, aber es hat vielen geholfen. Versuchen Sie, Ihre Dokumente im Ordner (C:\Benutzer\) an einen anderen Ort zu kopieren, um für alle Fälle ein Backup zu erstellen. Typischerweise tritt das Problem aufgrund einer Beschädigung der Datei „NTUSER.DAT“ auf, die sich im Ordner „C:\Users\Default“ befindet. Um dieses Problem zu lösen, müssen Sie die Datei „NTUSER.DAT“ durch ein anderes Profil ersetzen. .

1. Melden Sie sich im abgesicherten Modus mit einem funktionierenden Profilkonto beim System an.
2. Suchen Sie die Datei (C:\Users\Default) „NTUSER.DAT“ und benennen Sie die Erweiterung .DAT in .OLD um. Es sollte (NTUSER.OLD) sein.
3. Suchen Sie die Datei „NTUSER.DAT“ im Arbeitsprofil, z. B. „Gast“, „Allgemein“. Beispiel (C:\Benutzer\Gast\NTUSER.DAT).
4. Kopieren Sie es und fügen Sie es in den Standardordner C:\Users\Default ein.
5. Um einen Computer neu zu starten.

Sie können diese Datei auch von einem anderen Computer kopieren Windows-Version und fügen Sie es im Pfad C:\Users\Default ein.

Methode 2. Sie können versuchen, den gesamten Ordner „C:\Benutzer\“ von einem anderen Computer zu ersetzen.

• Nehmen Sie ein Flash-Laufwerk im FAT32-Format, schreiben Sie den Ordner C:\Benutzer\ von einem anderen Computer darauf und übertragen Sie ihn auf Ihren Computer.

Wenn jemand weiß, wie er den Fehler „Der Benutzerprofildienst verhindert, dass Sie sich anmelden können“ mit einer anderen Methode beheben kann, schreiben Sie ihn in das Formular „Fehler melden“.

Wie Sie wissen, sind Windows-Dienste einer der am meisten genutzten Dienste Lieblingsplätze für Angriffe auf das Betriebssystem. Im schlimmsten Fall (für uns natürlich) erhält der Angreifer die Möglichkeit, im Kontext des Kontos, unter dem der kompromittierte Dienst läuft, auf dem angegriffenen Computer einzugreifen. Und wenn dieses Konto über Administratorrechte verfügt, erhält der Angreifer tatsächlich die volle Kontrolle über den Computer. Von Version zu Version tauchen in Windows neue Mechanismen auf, die eine zusätzliche Isolierung von Diensten ermöglichen und dadurch die Sicherheit des Gesamtsystems erhöhen. Ich möchte kurz darauf eingehen, was sich in dieser Richtung in den letzten Jahren grundlegend verändert hat.

Die ersten wesentlichen Änderungen an den Dienstschutzmechanismen erschienen in Windows XP Service Pack 2. Es ist jetzt schwer vorstellbar, aber vor der Veröffentlichung von SP2 wurden alle Dienste des Betriebssystems selbst im Kontext des integrierten lokalen Systemkontos gestartet. der über die umfassendsten Administratorrechte auf dem Computer verfügte. SP2 fügte zwei weitere Einträge hinzu: Lokaler Dienst und Netzwerkdienst. Die grundlegenden Unterschiede zwischen den drei aufgeführten Einträgen finden Sie in der Tabelle. 1.

Tabelle 1

Dementsprechend konnte der Administrator ab Windows XP SP2 den Dienst so konfigurieren, dass er im Kontext eines der integrierten Konten, eines lokalen Kontos oder eines Domänenkontos, ausgeführt wird. Die meisten Windows-Dienste selbst werden jedoch weiterhin im lokalen Systemkontext ausgeführt. Aber selbst wenn wir davon abstrahieren, bedeutet die Situation, dass mehrere Dienste im Kontext desselben Kontos ausgeführt werden, dass ein erfolgreicher Hack eines Dienstes, auch ohne Administratorrechte, dem Angreifer möglicherweise alle anderen Ressourcen öffnet, auf die er Zugriff hat Gehacktes Dienstkonto.

Windows Vista führt mehrere Mechanismen ein, um die Dienstisolation zu erhöhen. Ich höre um zwei auf.
Der erste Mechanismus ist eine eindeutige Dienstsicherheitskennung (Dienst-SID). Diese SID wird für jeden Dienst durch Hashing des Dienstnamens mithilfe des SHA-1-Algorithmus generiert. Dem Ergebnis wird das Präfix S-1-5-80- hinzugefügt. Sie können die SID eines Dienstes mit dem Befehl sc showsid anzeigen und dabei den Dienstnamen als Parameter angeben (siehe Abbildung 1).
Reis. 1

Sie können beispielsweise mit dem W32Time-Dienst experimentieren. Für jeden Ordner auf NTFS müssen Sie in den Berechtigungseinstellungen nur den Benutzernamen im Format NT SERVICE\ eingeben<имя службы>, in unserem Fall NT SERVICE\w32time (siehe Abbildung 2).

Reis. 2

Klicken Sie auf Namen überprüfen, dann auf OK und sehen Sie den Benutzer (siehe Abb. 3), dem Sie Rechte zuweisen können.

Reis. 3

Ich möchte noch einmal betonen, dass w32time kein Benutzerobjekt ist. Dies ist eine SID, aber da sie eine ist, kann sie in ACLs verwendet werden, sowohl in der GUI als auch in Befehlszeile und programmatisch. Darüber hinaus können Service-SIDs verwendet werden Windows-Einstellungen Firewall, die bestimmte Regeln auf einen bestimmten Dienst anwendet, oder genauer gesagt auf eine bestimmte Dienst-SID.

Die zweite in Vista eingeführte Änderung ist eine neue Art von Sicherheitskennung – Write Restricted SID. Wenn ein Dienst mit dem SID-Typ „Schreibbeschränkt“ gekennzeichnet ist, wird seine SID zu seinem eigenen Zugriffstoken hinzugefügt Sonderliste– Eingeschränkte SID-Liste. Wenn ein solcher Dienst versucht, etwas in eine Datei zu schreiben, ändert sich der Algorithmus zur Überprüfung der Zugriffsrechte geringfügig. Ein Dienst kann nämlich nur dann in eine Datei schreiben, wenn der SID dieses Dienstes oder der Gruppe „Jeder“ explizit die Schreibberechtigung erteilt wird.
Beispielsweise ist ServiceAccount1 eines Dienstes Service1 Mitglied von Gruppe1. Gruppe1 und nur sie hat Schreibberechtigung für Ordner1. Was passiert, wenn der Dienst versucht, etwas in Ordner1 zu ändern? Im Normalfall kann ServiceAccount1 aufgrund seiner Mitgliedschaft in Gruppe1 in den Ordner schreiben. Wenn Service1 jedoch mit einer SID mit Schreibbeschränkung gekennzeichnet ist, wird sein Zugriffstoken anders behandelt und er kann nichts in den Ordner schreiben, da ihm nicht ausdrücklich die Schreibberechtigung erteilt wurde und auch nicht „Jeder“ dieses Recht erhält.
Sie können den SID-Typ mit dem Befehl sc qsidtype anzeigen (siehe Abbildung 4).

Reis. 4

Insbesondere in Abb. 4 sehen Sie, dass der Windows-Firewall-Dienst genau vom genannten Typ ist. Natürlich wurde dieser Typ eingeführt, um die Fähigkeiten des Dienstes (die Möglichkeit, etwas zu löschen oder zu überschreiben) im Falle eines erfolgreichen Hackings weiter einzuschränken. Es sollte auch hinzugefügt werden, dass dieser Mechanismus in erster Linie nicht für Systemadministratoren, sondern für Dienstentwickler gedacht ist. Wenn sie es nur nutzen würden.

In Windows 7 und Windows Server 2008 R2 wurde die Arbeit an der Dienstisolation fortgesetzt. Es erschienen virtuelle Konten und verwaltete Dienstkonten. Was genau ist das Problem? Wir müssen Dienste isolieren – lasst uns erstellen benötigte Menge lokale (oder Domänen-)Benutzerkonten. Jeder kritische Dienst verfügt über ein eigenes Konto. Ja, das ist die Lösung. Für lokale Dienste, die keinen Netzwerkzugriff auf Ressourcen benötigen, müssen Sie jedoch lange und komplexe Passwörter manuell festlegen. Und aktualisieren Sie sie auch regelmäßig manuell. Nun ja, da wir für die Sicherheit da sind. Für Dienste, die im Rahmen von Domänenkonten über das Netzwerk auf Ressourcen zugreifen müssen, müssen Sie darüber hinaus auch einen Service Principal Name (SPN) registrieren, der für jeden Dienst eindeutig ist. Es ist nicht bequem. Doch zu einem echten Problem wird die Unannehmlichkeit, wenn der Dienst aufgrund eines abgelaufenen Passworts nicht gestartet werden kann. Und der Administrator hat einfach vergessen, das Passwort dafür zu ändern.

Für lokale Dienste können Sie also virtuelle Konten verwenden. Ein virtuelles Konto wird nur zum Ausführen eines bestimmten Dienstes oder vielmehr zum Erstellen eines Sicherheitskontexts für einen bestimmten Dienst verwendet. Sie werden diesen Eintrag bei Benutzern in der Computerverwaltung nicht finden. Und doch ist dies ein Konto mit einer eigenen eindeutigen SID und einem eigenen Benutzerprofil. Daher können Sie ihm Berechtigungen zuweisen und so Zugriffsrechte differenzieren und klar steuern. Aber das Gleiche wie im Fall von Local System, Local Service und Network Service operationssystemübernimmt die Aufgaben der Passwortverwaltung für virtuelle Konten. Wir isolieren die Dienste, die wir benötigen, und müssen uns keine Gedanken über Passwörter machen.

Um ein virtuelles Konto zu erstellen, müssen Sie in den Diensteinstellungen als Konto Folgendes angeben: NT SERVICE\<имя службы>(siehe Abbildung 5)

Reis. 5

Nach dem Start des Dienstes erscheint das virtuelle Konto in der Dienstekonsole (Abb. 6) und im Ordner „Benutzer“ sehen Sie das Erscheinen eines neuen Benutzerprofils.
Reis. 6

Das Format ist einer Dienst-SID sehr ähnlich. Ich möchte jedoch betonen, dass es sich hierbei nicht nur um eine zusätzliche eindeutige SID für einen Dienst wie in Vista handelt, sondern um ein separates Konto und dementsprechend um eine andere Isolationsebene. Standardmäßig werden virtuelle Konten verwendet, beispielsweise für Anwendungspools in IIS 7.5 in Windows Server 2008 R2. Es ist zu beachten, dass virtuelle Konten für die lokale Nutzung gedacht sind. Wenn ein im Kontext eines virtuellen Kontos laufender Dienst über das Netzwerk zugreift, erfolgt dieser Zugriff im Namen des Kontos des Computers, auf dem der Dienst ausgeführt wird. Wenn Sie einen Dienst, beispielsweise SQL Server, benötigen, um im Namen eines Domänenkontos über das Netzwerk zu arbeiten, können verwaltete Dienstkonten hilfreich sein. Allerdings sind damit noch weitere Feinheiten verbunden, deren Betrachtung den Rahmen dieses Beitrags sprengen würde. Sie können MSA näher kennenlernen