Betroffen sind mehr als 15 fast gleichartig installierte Systeme.
Auf allen Systemen sind mehr als 10 User aktiv, lokale und solche mit MS-Konten, es existiert aber immer nur ein lokaler User mit Admin-Rechten
Es finden sich folgende 3 Infos in der Ereignisanzeige unter System (die Ereignisanzeige ist voll davon)
Beispiel:
seit dem 21.01.2017
Fehler beim Laden des Treibers \Driver\tunnel für das Gerät SWD\IP_TUNNEL_VBUS\Teredo_Tunnel_Device.
scheinbar tritt dieser Fehler erst seit der Abschaltung (?) der Geolokation (?) auf
und seit dem 16.01.2017
Protokollname: System
Quelle: Microsoft-Windows-DistributedCOM
Datum: 05.02.2017 09:02:55
Ereignis-ID: 10016
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:Klassisch
Benutzer: Lokaler Dienst
Computer: PC11C0
Beschreibung:
Durch die Berechtigungseinstellungen für "Anwendungsspezifisch" wird dem Benutzer "NT-AUTORITÄT\Lokaler Dienst" (SID: S-1-5-19) unter der Adresse "LocalHost (unter Verwendung von LRPC)" keine Berechtigung vom Typ "Lokal Aktivierung" für die COM-Serveranwendung
mit der CLSID
{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}
und der APPID
{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}
im Anwendungscontainer "Nicht verfügbar" (SID: Nicht verfügbar) gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungstool für Komponentendienste geändert werden.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-DistributedCOM" Guid="{1B562E86-B7AA-4131-BADC-B6F3A001407E}" EventSourceName="DCOM" />
<EventID Qualifiers="0">10016</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8080000000000000</Keywords>
<TimeCreated SystemTime="2017-02-05T08:02:55.706850200Z" />
<EventRecordID>22175</EventRecordID>
<Correlation />
<Execution ProcessID="860" ThreadID="8724" />
<Channel>System</Channel>
<Computer>PC11C0</Computer>
<Security UserID="S-1-5-19" />
</System>
<EventData>
<Data Name="param1">Anwendungsspezifisch</Data>
<Data Name="param2">Lokal</Data>
<Data Name="param3">Aktivierung</Data>
<Data Name="param4">{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}</Data>
<Data Name="param5">{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}</Data>
<Data Name="param6">NT-AUTORITÄT</Data>
<Data Name="param7">Lokaler Dienst</Data>
<Data Name="param8">S-1-5-19</Data>
<Data Name="param9">LocalHost (unter Verwendung von LRPC)</Data>
<Data Name="param10">Nicht verfügbar</Data>
<Data Name="param11">Nicht verfügbar</Data>
</EventData>
</Event>
und
Protokollname: System
Quelle: Microsoft-Windows-DistributedCOM
Datum: 05.02.2017 09:02:55
Ereignis-ID: 10016
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:Klassisch
Benutzer: SYSTEM
Computer: PC11C0
Beschreibung:
Durch die Berechtigungseinstellungen für "Anwendungsspezifisch" wird dem Benutzer "NT-AUTORITÄT\SYSTEM" (SID: S-1-5-18) unter der Adresse "LocalHost (unter Verwendung von LRPC)" keine Berechtigung vom Typ "Lokal Aktivierung" für die COM-Serveranwendung mit
der CLSID
{8D8F4F83-3594-4F07-8369-FC3C3CAE4919}
und der APPID
{F72671A9-012C-4725-9D2F-2A4D32D65169}
im Anwendungscontainer "Nicht verfügbar" (SID: Nicht verfügbar) gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungstool für Komponentendienste geändert werden.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-DistributedCOM" Guid="{1B562E86-B7AA-4131-BADC-B6F3A001407E}" EventSourceName="DCOM" />
<EventID Qualifiers="0">10016</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8080000000000000</Keywords>
<TimeCreated SystemTime="2017-02-05T08:02:55.550592300Z" />
<EventRecordID>22174</EventRecordID>
<Correlation />
<Execution ProcessID="860" ThreadID="2360" />
<Channel>System</Channel>
<Computer>PC11C0</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data Name="param1">Anwendungsspezifisch</Data>
<Data Name="param2">Lokal</Data>
<Data Name="param3">Aktivierung</Data>
<Data Name="param4">{8D8F4F83-3594-4F07-8369-FC3C3CAE4919}</Data>
<Data Name="param5">{F72671A9-012C-4725-9D2F-2A4D32D65169}</Data>
<Data Name="param6">NT-AUTORITÄT</Data>
<Data Name="param7">SYSTEM</Data>
<Data Name="param8">S-1-5-18</Data>
<Data Name="param9">LocalHost (unter Verwendung von LRPC)</Data>
<Data Name="param10">Nicht verfügbar</Data>
<Data Name="param11">Nicht verfügbar</Data>
</EventData>
</Event>
Es wurde aber seit der clean-Neuinstallation Ende Oktober 2016 im nichts an den Berechtigungseinstellungen rum gefummelt. Und seit Monaten auch nichts installiert, außer den (automatischen) Update Quelle Microsoft.