Программа adprep обнаружила ошибку win32 код ошибки 0x5 сообщение об ошибке отказано в доступе
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.
Выполните команды и вывод покажите: ntdsutil roles connections connect to server SERV2008 quit select operation target list domains select domain 0 list sites select site 0 list servers in site » |
Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.
C:\Windows\system32>ntdsutil
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server serv2008
Привязка к serv2008 .
Подключен к serv2008 с помощью учетных данных локального пользователя.
server connections: q
fsmo maintenance: select operation target
select operation target: list domains
Найдено доменов: 1
0 - DC=domain,DC=local
select operation target: select domain 0
Нет текущего сайта
Домен - DC=domain,DC=local
Нет текущего сервера
Нет текущего контекста именования
select operation target: list sites
Найдено сайтов: 1
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=local
select operation target: select site 0
Сайт - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=local
Домен - DC=domain,DC=local
Нет текущего сервера
Нет текущего контекста именования
select operation target: list servers in site
Найдено серверов: 1
0 - CN=SERV2008,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,
DC=domain,DC=local
select operation target:
Выполните команды и затем перезагрузите КД.
ntdsutil
roles
connections
connect to server SERV2008
quit
metadata cleanup
После перезагрузки выполните dcdiag и вывод покажите.
Выполните команды и затем перезагрузите КД. ntdsutil roles connections connect to server SERV2008 quit metadata cleanup » |
ntdsutil
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server serv2008
Привязка к serv2008 .
Подключен к serv2008 с помощью учетных данных локального пользователя.
server connections: q
fsmo maintenance: metadata cleanup
Ошибка при синтаксическом разборе ввода - неправильный синтаксис.
fsmo maintenance: q
ntdsutil: metadata cleanup
metadata cleanup:
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
. ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. ForestDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
. DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. DomainDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
. Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Schema - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
. Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. Configuration - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: domain
Запуск проверки: CheckSDRefDom
. domain - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. domain - пройдена проверка
CrossRefValidation
Выполнение проверок предприятия на: domain.local
Запуск проверки: LocatorCheck
Внимание! Сбой при вызове функции DcGetDcName(GC_SERVER_REQUIRED),
ошибка 1355
Не удается найти сервер глобального каталога - все глобальные каталоги
отключены.
Внимание! Сбой при вызове функции DcGetDcName(TIME_SERVER), ошибка
1355
Не удается найти сервер времени.
Сервер, которому принадлежит роль PDC, отключен.
Внимание! Сбой при вызове функции
DcGetDcName(GOOD_TIME_SERVER_PREFERRED), ошибка 1355
Не удается найти сервер точного времени.
Внимание! Сбой при вызове функции DcGetDcName(KDC_REQUIRED), ошибка
1355
Не удается найти центр распространения ключей (KDC) - все KDC
отключены.
. domain.local - не пройдена проверка
LocatorCheck
Запуск проверки: Intersite
. domain.local - пройдена проверка Intersite
В этой статье описываются действия по описанию симптомов, причин и разрешений для ситуаций, в которых операции AD с ошибкой 5: доступ отказано.
Применяется к: Windows Server 2012 R2
Исходный номер КБ: 2002013
Симптомы
DCDIAG сообщает, что тест репликации Active Directory не справился с кодом состояния ошибки (5): доступ отказано.
DCDIAG сообщает, что DsBindWithSpnEx() не удалось с ошибкой 5.
REPADMIN.EXE сообщает, что последняя попытка репликации не удалась со статусом 5.
REPADMIN Команды, которые обычно ссылаются на состояние 5, включают, но не ограничиваются:
- REPADMIN /KCC
- REPADMIN /REPLICATE
- REPADMIN /REPLSUM
- REPADMIN /SHOWREPL
- REPADMIN /SHOWREPS
- REPADMIN /SYNCALL
Пример вывода из REPADMIN /SHOWREPS показа входящие репликации из CONTOSO-DC2 в CONTOSO-DC1 с отказом в доступе к репликации ошибка показана ниже:
События NTDS KCC, NTDS General или Microsoft-Windows-ActiveDirectory_DomainService со статусом 5 регистрируются в журнале событий службы каталогов.
События Active Directory, которые обычно ссылаются на состояние 8524, включают, но не ограничиваются:
Команда репликации в Active Directory Sites и Services возвращает доступ, отказано.
Текст заголовка диалогового диалога: Репликация теперь
Следующая ошибка произошла при попытке синхронизировать контекст именования > от контроллера домена до контроллера домена: доступ отказано
Операция не будет продолжена
Кнопки в диалоговом ок .
Причина
Допустимые корневые причины ошибки 5: доступ отказано :
- Параметр RestrictRemoteClients в реестре имеет значение 2.
- Доступ к этому компьютеру из права пользователя сети не предоставляется группе контроллеров домена Enterprise администратору, запускающим немедленную репликацию.
- Параметр CrashOnAuditFail в реестре dc назначения имеет значение 2.
- Существует разница во времени между центром рассылки ключей (KDC), используемым центром назначения и источником DC. Разница во времени превышает максимальный перекос времени, разрешенный Kerberos, определенный в политике домена по умолчанию.
- Существует несоответствие подписи SMB между исходным и пунктом назначения DCs.
- Существует несоответствие LMCompatiblity между исходным и назначением DCs.
- Имена основных служб либо не регистрируются, либо не присутствуют из-за простой задержки репликации или сбоя репликации.
- Пакеты Kerberos в формате UDP фрагментированы устройствами сетевой инфраструктуры, например маршрутизаторами и переключателями.
- Безопасный канал в источнике или пункте назначения является недействительным.
- Отношения доверия в цепочке доверия нарушены или недействительны.
- Параметр KDCNames в разделе HKLM\System\CurrentControlSet\Control\LSA\Kerberos\Domains реестра неправильно содержит локальное доменное имя Active Directory.
- Некоторые сетевые адаптеры имеют функцию Большой отправки offload .
- Антивирусное программное обеспечение, использующее драйвер фильтрации сетевого адаптеров мини-брандмауэра в источнике или пункте назначения DC.
Ошибки Active Directory и события, подобные тем, которые приводятся в разделе симптомы этого KB, также могут привести к сбойу с ошибкой 8453 с аналогичной строкой ошибок Репликация Доступ был отказано. Следующие причины могут привести к сбою операций AD с 8453 : доступ к репликации был отказано, но не вызывает сбоев с ошибкой 5: репликация отказано:
- Глава NC не разрешается с разрешением на репликацию каталога изменений .
- Основной участник системы безопасности, начинающий репликацию, не входит в группу, которая получила изменения каталога репликации.
- Отсутствующие флаги в атрибуте UserAccountControl , включая SERVER_TRUST_ACCOUNT и TRUSTED_FOR_DELEGATION .
- RODC, продвигаемая в домен без первого запуска ADPREP /RODCPREP .
Решение
Сбой репликации AD с ошибкой 5 имеет несколько корневых причин. Сначала решить проблему с помощью таких средств, как:
- DCDIAG
- DCDIAG /TEST: CheckSecurityError
- NETDIAG, которая предоставляет распространенные проблемы
Если все еще не разрешено, перейдите по известному списку причин в наиболее частом, наименее сложном, наименее деструктивном порядке до наименее распространенного, наиболее сложного, наиболее разрушительного порядка.
Запуск DCDIAG, DCDIAG /TEST:CheckSecurityError и NETDIAG
Универсальный DCDIAG выполняет несколько тестов.
DCDIAG /TEST:CheckSecurityErrors было написано, чтобы сделать определенные тесты (включая проверку регистрации SPN) для устранения неполадок с репликацией операций Active Directory с ошибками:
- ошибка 5: доступ отказано
- ошибка 8453: доступ к репликации был отказано
DCDIAG /TEST:CheckSecurityErrors не является частью выполнения DCDIAG по умолчанию.
- Запуск DCDIAG в пункте назначения DC
- Запуск DCDIAG /TEST:CheckSecurityError
- Запуск NETDIAG
- Устранение ошибок, выявленных DCDIAG и NETDIAG. Повторное повторение ранее сбоя операции репликации. Если по-прежнему не удается, продолжайте длинный путь вокруг.
Долгий путь
RestrictRemoteClients значение 2
Это значение реестра RestrictRemoteClients заданной для значения 0x2 в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\RPC .
Чтобы устранить эту проблему, выполните следующие действия:
Отключить политику, которая обеспечивает соблюдение этого параметра.
Удаление параметра RestrictRemoteClients реестра и перезагрузка.
Дополнительные сведения об этом параметре см. в дополнительных сведениях о ключе реестра RestrictRemoteClients.
Значение RestrictRemoteClients реестра устанавливается следующим параметром групповой политики:
Конфигурация компьютера > Административные шаблоны > System > Вызов удаленной процедуры - Ограничения для неавентированных клиентов RPC
Значение реестра 0x2, если параметр политики включен и настроен на проверку подлинности без исключений.
Этот параметр позволяет подключать только клиентов RPC с проверкой подлинности к серверам RPC, работающим на компьютере, на котором применяется параметр политики. Он не допускает исключений. При выборе этого параметра система не может принимать удаленные анонимные вызовы с помощью RPC. Этот параметр никогда не должен применяться к контроллеру домена.
Проверьте доступ к этому компьютеру из сетевых прав.
При установке Windows по умолчанию политика контроллеров домена привязана к контейнеру OU контроллеров домена. Он предоставляет доступ к этому компьютеру от пользователя сети к следующим группам безопасности:
Локализованная политика | Политика контроллеров домена по умолчанию |
---|---|
Администраторы | Администраторы |
Пользователи, прошедшие проверку | Пользователи, прошедшие проверку |
Все пользователи | Все пользователи |
Enterprise контроллеры домена | Enterprise контроллеры домена |
[Предварительный Windows 2000 совместимый доступ] | [Предварительный Windows 2000 совместимый доступ] |
Если операции Active Directory не работают с ошибкой 5: доступ отказано, убедитесь, что:
- Группам безопасности в списке выше предоставлен доступ к этому компьютеру с сетевого права в политике контроллеров домена по умолчанию.
- Учетные записи компьютера контроллера домена расположены в OU контроллеров домена.
- Политика контроллеров домена по умолчанию привязана к доменным контроллерам OU или альтернативным учетным записям OUs, на которые размещены компьютеры.
- Политика групповой группы применяется к контроллеру домена назначения, который в настоящее время ведет журнал ошибки 5.
- Запретить доступ к этому компьютеру в праве пользователя сети не включено или не ссылается на отсутствие прямых или вложенных групп.
- Приоритет политики, блокированная наследование, фильтрация WMI или подобное не мешают параметру политики применяться к компьютерам ролей DC.
Параметры политики можно проверить с помощью RSOP. MSC— GPRESULT /Z это предпочтительный инструмент, так как он более точный.
Местная политика имеет приоритет над политикой, определенной в сайтах, доменах и OU.
В свое время администраторы часто удаляли контроллеры корпоративных доменов и все группы из доступа к этому компьютеру из сети прямо в политике контроллеров домена по умолчанию. Удаление обоих является фатальным. Нет причин удалять контроллеры корпоративных доменов из этого права, так как только DCs являются членами этой группы.
CrashOnAuditFail = 2
Репликация AD сбой, когда HKLM\System\CurrentControlSet\Control\LSA\CrashOnAuditFail = имеет значение 2,
Значение CrashOnAduitFail 2 запускается при немедленном отключении системы аудита, если не удалось войти в параметр аудита безопасности в групповой политике, и журнал локальных событий безопасности становится полным.
Контроллеры домена Active Directory особенно склонны к журналам безопасности максимальной емкости при включенном аудите, а размер журнала событий безопасности ограничен событиями Do not overwrite (четкий журнал вручную) или Overwrite в качестве необходимых параметров в viewer event или эквивалентах групповой политики.
Если HKLM\System\CCS\Control\LSA\CrashOnAuditFail = 2:
- Очистить журнал событий безопасности (сохраните альтернативное расположение по мере необходимости)
- Повторно включаем ограничения размера журнала событий безопасности, включая параметры, основанные на политике.
- Воссоздание CrashOnAuditFail (REG_DWORD) = 1
- Перезагрузка
При виде CrashOnAuditFail значения 0 или 1 некоторые инженеры CSS разрешили доступ, отказано в ошибках, снова очищая журнал событий безопасности, the CrashOnAuditFail удаляя значение реестра и перезагружая пункт назначения DC.
Чрезмерный перекос времени
Параметры политики Kerberos в доменной политике по умолчанию позволяют 5-минутную разницу (значение по умолчанию) в системном времени между контроллерами домена KDC и целевым сервером Kerberos, чтобы предотвратить повторы атак. В некоторых документах говорится, что время между клиентом и объектом Kerberos должно иметь время в течение пяти минут друг от друга. Другие говорят, что в контексте проверки подлинности Kerberos важное время — это дельта между KDC, используемым звонивцом, и временем на объекте Kerberos. Кроме того, Kerberos не заботится о том, чтобы время системы на соответствующих DCs совпадало с текущим временем. Важно только то, что относительная разница во времени между KDC и целевой dc находится внутри максимального перекоса времени (по умолчанию пять минут или меньше), разрешенного политикой Kerberos.
В контексте операций Active Directory целевым сервером является источник постоянного тока, связываемого центром назначения. Каждый контроллер домена в лесу Active Directory (в настоящее время работает служба KDC) является потенциальным KDC. Поэтому необходимо учитывать точность времени на всех остальных DCs в отношении источника DC, включая время в самом пункте назначения.
Два метода проверки точности времени:
Найди события LSASRV 40960 в пункте назначения DC во время сбоя запроса репликации, который ссылается на запись CNAME с кодом GUIDed источника DC с расширенной ошибкой:
0xc000133: время в контроллере основного домена отличается от времени на контроллере резервного домена или сервере-члене слишком большим количеством.
Следы сети, захватив компьютер назначения, подключающийся к общей папке в источнике DC (и других операциях), могут показать, что на экране произошла расширенная ошибка. Но трассировка сети показывает:
KerberosV5:TGS Запрос Realm > TGS запроса из источника DC
KerberosV5:KRB_ERROR - KRB_AP_ERR_TKE_NVV (33) > TGS, KRB_AP_ERR_TKE_NYV > карты для билета еще не действительны
Ответ TKE_NYV указывает, что диапазон дат в билете TGS является более новым, чем время на объекте, что указывает на чрезмерный перекос времени.
W32TM /MONITOR только проверяет время на компьютерах в домене тестовых компьютеров, поэтому вам потребуется выполнить это в каждом домене и сравнить время между доменами.
Если установлено, что время работы системы является неточным, необходимо выяснить, почему и что можно сделать, чтобы предотвратить неточное время в будущем. Настроен ли корневой PDC леса с внешним источником времени? Доступны ли справочные источники времени в интернете и доступны в сети? Была ли запущена служба времени? Настроены ли компьютеры ролей DC для использования иерархии NT5DS в источник времени?
Если разница во времени слишком велика Windows DCs назначения Server 2008 R2, репликация теперь команду в DSSITE. MsC не удается с ошибкой на экране Существует разница времени и / или даты между клиентом и сервером. Эта строка ошибки карты ошибки 1398 десятичные / 0x576 с символическим именем ошибки ERROR_TIME_SKEW.
Несоответствие подписи SMB
Лучшая матрица совместимости при подписании SMB определяется четырьмя настройками политики и их эквивалентами на основе реестра:
Сосредоточься на несоответствиях между контроллерами домена назначения и исходными доменами, а классические случаи — это параметр включен или требуется с одной стороны, но отключен с другой.
Внутреннее тестирование показало несоответствия при подписании SMB, из-за чего репликация с ошибкой 1722: сервер RPC недоступен.
Форматированная фрагментация пакета Kerberos в формате UDP
Сетевые маршрутизаторы и коммутаторы могут раздробить или полностью отказаться от крупных сетевых пакетов UDP, используемых Kerberos и EDNS0 (DNS). Компьютеры Windows 2000 и Windows 2003 семейства операционных систем уязвимы для фрагментации UDP по сравнению с компьютерами с Windows Server 2008 и 2008 R2.
На консоли конечного dc необходимо идентифицировать исходный DC по полностью квалифицированному имени компьютера, чтобы определить самый большой пакет, поддерживаемый сетевым маршрутом.
Если самый большой не фрагментационный пакет меньше 1472 bytes, либо (в порядке предпочтения)
Измените инфраструктуру сети, чтобы правильно поддерживать большие кадры UDP. Для этого может потребоваться обновление прошивки или переключение на маршрутизаторы, коммутаторы или брандмауэры.
Установите maxpacketsize (в пункте назначения DC) на самый большой пакет, идентифицированный командой PING-f-l менее 8 bytes для учета загона TCP и перезагрузки измененного DC.
Установите maxpacketsize (в пункте назначения DC) до значения "1", которое вызывает Kerberos для использования TCP. Перезагружайте измененный DC, чтобы изменение вступает в силу.
Повторное повторное повторить сбой операции Active Directory
Недействительный безопасный канал / несоответствие пароля
Проверка защищенного канала с помощью nltest /sc: query или netdom verify .
Дополнительные сведения об NETDOM / RESETPWD сбросе пароля dc назначения см. в Netdom.exe для сброса паролей учетных записей компьютера контроллера домена Windows Server.
Отключение службы KDC при перезагрузке dc.
На консоли назначения DC запустите NETDOM RESETPWD, чтобы сбросить пароль для конечного DC:
Убедитесь, что вероятные KDCs и исходный DC (если в том же домене) входящие репликации знаний о назначении DCs новый пароль.
Перезагружайте пункт назначения DC, чтобы смыть билеты Kerberos и повторить операцию репликации.
Если репликация AD не удается между DCs в различных доменах, проверьте состояние отношений доверия по пути доверия
При возможности используйте тест доверия NETDIAG для проверки нарушенных доверий. NETDIAG определяет нарушенные доверия следующим текстом:
Проверка отношений доверия. . . . . . : Неудачный тест для обеспечения правильности domainSid домена. [FATAL] Нарушен безопасный канал для домена. []
Например, у вас есть много доменный лес, содержащий:
Если между доменами назначения существует короткое доверие, цепочка путей доверия не должна быть проверена. Вместо этого проверьте краткое доверие между доменом назначения и исходным.
Repadmin /showobjmeta * \ Проверьте недавние изменения пароля в доверительном управлении с доверенным объектом домена (TDO), чтобы убедиться, что пункт назначения dc является транзитным входящим репликацией раздела writable directory домена, в котором могут происходить изменения пароля доверия.
Команды для сброса доверия:
Из корневого домена PDC:
От PDC домена child:
Недействительный области Kerberos - PolAcDmN / PolPrDmN (нет перепроверки при написании статьи)
- Откройте редактор реестра.
- В левой области расширим безопасность.
- В меню Безопасность выберите разрешения на предоставление локальной группе Администраторы полного управления ульем SECURITY и его детскими контейнерами и объектами.
- Найдите HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN ключ.
- В правой области редактора реестра выберите запись : REG_NONE один раз.
- В меню Просмотр выберите Отображение двоичных данных. В разделе Формат диалоговое окно выберите Byte.
- Доменное имя отображается в качестве строки в правой части диалогового окна Двоичные данные. Доменное имя такое же, как и область Kerberos.
- Найдите ключ HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN реестра.
- В правой области редактора реестра дважды щелкните запись : REG_NONE.
- В диалоговом окне Двоичный редактор вклейте значение от PolPrDmN. (Значение от PolPrDmN будет доменное имя NetBIOS).
- Перезапустите контроллер домена.
Недействительный области Kerberos - KdcNames
- На консоли dc назначения запустите REGEDIT.
- Найдите следующий путь в реестре: HKLM\system\ccs\control\lsa\kerberos\domains .
- Для каждого из них HKLM\system\ccs\control\lsa\kerberos\domains убедитесь, KdcNames что значение относится к допустимой внешней области Kerberos, а не к локальному домену или другому домену в том же лесу Active Directory.
Сетевые адаптеры с включенной большой нагрузкой отправки IPv4 :
Добрый день. Возникла проблема при миграции с SBS 2003 SP2 на Standart 2012. Процесс миграции прерывается на этапе проверки. Данные из лога Adprep:
Все рекомендации по устранению этой ошибки , что уже выложены в сеть - выполнил, но проблема не исчезла.
Службе репликации DFS не удалось связаться с контроллером домена , чтобы получить сведения о конфигурации. Репликация остановлена. Служба вновь попытается это сделать во время следующего цикла опроса, который произойдет через 60 мин. Это событие может быть вызвано проблемами с подключением TCP/IP, брандмауэром, доменными службами Active Directory или DNS.
Дополнительные сведения:
Ошибка: 1168 (Элемент не найден.)
Дополнительные сведения:
Ожидаемая версия: 31
Несовместимая версия сервера: 30
Контроллер домена: srv2007cs.XXXKaza.local
Цикл опроса: 60 мин
Host SRV2007CS.MSCRMAsyncService.cd07de9e-8d4c-446c-a9b1-b5fd499f6cc2: a config database error occured. Exception: System.Data.SqlClient.SqlException: Cannot open database "csoftkazan_MSCRM" requested by the login. The login failed.
Login failed for user 'NT AUTHORITY\NETWORK SERVICE'.
в System.Data.ProviderBase.DbConnectionPool.GetConnection(DbConnection owningObject)
в System.Data.ProviderBase.DbConnectionFactory.GetConnection(DbConnection owningConnection)
в System.Data.ProviderBase.DbConnectionClosed.OpenConnection(DbConnection outerConnection, DbConnectionFactory connectionFactory)
в System.Data.SqlClient.SqlConnection.Open()
в Microsoft.Crm.CrmDbConnection.Open()
в Microsoft.Crm.Asynchronous.JobDataAccess.RetrieveSqlServerName(Guid orgId)
в Microsoft.Crm.Asynchronous.JobDataAccess.SelectJob(DateTime startCycleTime)
Код: 17418
Источник: MSCRMAsyncService
Прошу помощи в решении проблемы. Заранее спасибо.
PS на SBS 2003 установлен ISA, специально было создано правило , которое разрешало абсолютно все между двумя конкретными IP адресами.
В некоторых ситуациях пользователи операционной системы Виндовс 10 могут столкнуться с проблемой, когда попытка открыть файл, папку или программу приводит к появлению ошибки с кодом 5 и текстом «Отказано в доступе». Также она нередко возникает при попытке запуска или перезапуска служб. Далее мы расскажем о причинах появления этого сбоя и предложим методы его устранения.
Устраняем ошибку 5 при доступе к данным
Способ 1: Запуск с привилегиями администратора
Если открытие исполняемого файла программы, игры либо инсталлятора приложения приводит к появлению рассматриваемой ошибки, следует попробовать запустить его от имени администратора.
-
Убедитесь, что у текущей учётной записи нужные права есть. Если это не так, предоставьте или получите их.
Способ 2: Открытие доступа к каталогам
Вторая причина проблемы, которую мы сегодня рассматриваем – неполадки с правами доступа к отдельному каталогу или диску. Предоставление нужных прав покажем на примере системного диска.
Внимание! Процедура может нарушить работу компьютера, поэтому рекомендуем создать точку восстановления!
Урок: Точка восстановления в Windows 10
- Откройте «Этот компьютер», найдите в нём системный накопитель и кликните по нему ПКМ, затем выберите в меню пункт «Свойства».
Способ 3: «Командная строка»
Рассматриваемая проблема может касаться только той или иной службы Виндовс. В этом случае можно воспользоваться средством «Командная строка».
-
Откройте «Поиск», в котором начните вводить запрос командная строка . Выделите найденное приложение и нажмите на ссылку «Запуск от имени администратора» в правой части окна.
net localgroup Администраторы /add networkservice
net localgroup Администраторы /add localservice
Обратите внимание! Пользователям Windows 10 с английской локализацией системы необходимо вводить Administrators вместо Администраторы!
Способ 4: Устранение проблем с Виндовс
Если применение всех вышеприведённых методов не принесло результата, скорее всего источником проблемы являются неполадки в самой ОС.
-
Первым делом проверьте обновления – возможно, в одном из недавно установленных присутствуют баги. Если же, напротив, вы давно не обновляли систему, попробуйте загрузить актуальные апдейты.
Если же вы по каким-то причинам вообще не пользуетесь защитой от вирусов, рекомендуем ознакомиться со статьей по борьбе с ними — возможно, ваш компьютер стал жертвой заражения.
Заключение
Мы рассмотрели варианты решения проблемы, при которой в Виндовс 10 появляется ошибка с кодом 5 и текстом «Отказано в доступе». Как видим, возникает она по разным причинам, из-за чего нет универсального метода устранения.
Мы рады, что смогли помочь Вам в решении проблемы.
Отблагодарите автора, поделитесь статьей в социальных сетях.
Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.
Ошибка 5 говорит нам, что «отказано в доступе». То есть нам не хватает каких-то прав, чтобы запустить службу, хотя большинство пользователей работают в учетной записи администратора.
Проблема нередко возникает не только при подключении служб, но и открытии файлов, создании папок, запуске политики диагностики и т.д. В этой статье попробуем разобраться, в чем причина такой неисправности и по возможности устранить ее.
Полный доступ к системному диску
Один из вариантов исправления ошибки – открыть полный доступ к системному диску C (у вас он может быть под другим символом, это тот диск, на который установлена операционная система).
Открываем Проводник, кликаем правой кнопкой мышки на диск C и выбираем из контекстного меню пункт «Свойства». В свойствах диска переходим во вкладку безопасности и кликаем на иконку «Изменить».
Далее кликаем «Добавить». В появившемся окошке прописываем в строке слово «Все». Это позволит нам сохранить изменения в доступе к диску для всех пользователей. После чего нажимаем «Проверить имена». Слово должно стать подчеркнутым – это значит, что система правильно определила нового «пользователя».
Далее устанавливаем соответствующий маркер, чтобы предоставить всем пользователям полный доступ к локальному диску C.
Кликаем «ОК» и соглашаемся с изменениями. После чего проверяем, удалось ли избавиться от ошибки при запуске служб.
Доступ для Local Service
Не уходим из свойства безопасности диска C. Снова заходим в последнюю закрытую вкладку и кликаем там «Дополнительно».
Нажимаем на поиск и далее ищем «пользователя» с именем Local Service. Добавляем его в список и далее, как и в предыдущем разделе, наделяем его полным доступом.
Командная строка
Следующее решение – ответ технической поддержки Microsoft пользователю, который тоже столкнулся с данной проблемой. В командной строке, запущенной от имени администратора (читайте здесь, как это сделать), нужно прописать поочередно две команды:
- net localgroupАдминистратор /add networkservice;
- net localgroup Администраторы /add localservice.
Важно! В англоязычной версии в первой команде указываем Administrator, а во втором Administrators (во множественном числе).
После выполнения команд перезагрузите компьютер и попробуйте запустить службу Windows.
Редактируем реестр
Следующий способ решения проблемы – работа с реестром. Для этого нам нужно узнать точное имя службы, с которой возникают проблемы при запуске.
Для этого заходим в «Службы»: комбинация клавиш Win+R и команда services.msc. Кликаем два раза левой кнопкой мыши по службе и запоминаем имя. Обратите внимание, что отображаемое в списке имя не является именем самой службы. Реальное название отображается в свойствах службы.
Теперь переходим в редактор реестра (здесь подробно описано, как это сделать). В редакторе следуем по пути, указанному на скриншоте. Кликаем право кнопкой мышки по каталогу службы и выбираем из контекстного меню пункт «Разрешения».
В разрешениях нам нужно установить полный доступ для администраторов и пользователей.
Также рекомендуем предоставить полный доступ для «пользователя» Local Service, которого мы ранее добавили.
Дополнительные рекомендации
Возможно, следует отключить или удалить антивирусную программу и попробовать запустить службу. Читайте подробную статью о том, как отключить Защитник Windows 10. Также одним из вариантом будет возврат к точке восстановления. А для этого прочитайте сначала, как создать току восстановления.
Пробуйте поочередно все описанные выше методы. Один из них точно должен помочь при запуске служб.
Читайте также: