Усунення помилки Windows "не вдалося увійти до облікового запису". Усунення помилки Windows "не вдалося увійти до облікового запису" Чому не працює служба облікових записів Майкрософт

Ушкодження облікового запису користувача є загальною проблемою Windows. Проблема виникає, коли вводите пароль або пін-код на екрані блокування та при натисканні enter буде виводитися помилка "служба профілів користувачів не вдалося увійти в систему. Неможливо завантажити профіль користувача" у windows 10 або Служба профілів користувачів перешкоджає входу в систему у Windows 7. .

Вирішуємо проблему "Служба профілів користувачів не вдалося увійти до системи" за допомогою редактора реєстру

Варіант 1. Виправити профіль облікового запису користувача

Іноді ваш обліковий запис може бути пошкоджений і це заважає вам отримати доступ до файлів у windows 10. Зайдемо в редактор реєстру кількома способами через безпечний режим:

Крок 1. Натисніть клавіші " windows + R" для виклику команди "виконати" та введіть команду regeditдля входу до Реєстру.

Крок 2. У вікні, що відкрилося, перейдіть по дорозі:

Крок 3. У параметрі у вас буде кілька ключів s-1-5. Вам потрібно буде вибрати найдовший ключ з довгим масивом чисел і вашим обліковим записом, на якому помилка "Служба профілів користувачів не вдалося увійти до системи". Переконатися, що шлях правильний натисніть на довгий ключ і з право в колонці має бути ім'я , якщо не знайшли, то перегортайте всі довгі ключі доки не натрапите у правій колонці на з вашим зламаним профілем, в моєму випадку обліковий запис .

Крок 4. Якщо ви неправильно перейменували папку профілю користувача C:\User\сайт потерпілого облікового запису, то відкрийте провідник шляхом C:\User\сайт і натисніть на зламаному профілі правою кнопкою миші, виберіть перейменуватиі введіть правильне ім'я профілю (сайт) вручну. Після перейменування заходимо назад у реєстрі до папки і дивимося, щоб ім'я було написано, як на картинці (крок 3) C:\User\сайт.

Дивіться два варіанти крок 6 та крок 7 залежно у кого як

Крок 5. Тепер зробимо два варіанти, якщо ми маємо один довгий ключ S-1-5-21-19949....-1001. bak(наприкінці розширення.bak) та з другим без .bakтобто. просто S-1-5-21-19949....-1001. Залежно у кого як вишикувалися профілі два або один.

Крок 6. Є лише один ключ в кінці с.bak (S-1-5-21-19949....-1001.bak).

• А) Якщо у вас є тільки один ключ в кінці .bak(S-1-5-21-19949....-1001.bak), натисніть на ньому правою кнопкою миші та натисніть перейменувати. (дивіться малюнок нижче).

• Б) Видаліть саме слово з точкою .bakщоб вийшли просто цифри. Дотримуйтесь кроку 8. (дивіться малюнок нижче)

Крок 7. Якщо у вас є два однакові ключі, один без.bak, другий с.bak. (S-1-5-21-19949....-1001 та S-1-5-21-19949....-1001.bak) .

• А) У лівій панелі реєстру, клацніть правою кнопкою миші на ключі без .bakі допишіть крапка, дві літери .bk(Див. малюнок нижче).

• Б) Тепер натисніть правою кнопкою миші на ключ з .bak, Виберіть перейменуватиі видаліть .bakз крапкою. (Див. малюнок нижче).

• В) Тепер поверніться і перейменуйте перший ключ з .bkв .bak. Натисніть клавішу enter і виконайте крок 8.

Крок 8. Виділіть ключ, який перейменували без .bakі з право у стовпці натисніть два рази, щоб відкрити налаштування параметра , і присвойте значення 0. Якщо у вас немає такого параметра , то натисніть право на порожньому полі правою кнопкою миші і створіть параметр DWORD (32-bit), перейменуйте його в RefCount та задайте значення 0.

Крок 9. У правому полі виберіть ключ без .bakта у параметрі Stateзадайте значення 0. Якщо немає такого параметра, то клацніть на порожньому полі праворуч і натисніть створити DWORD (32-bit), перейменуйте його в Stateта задайте значення 0.

Крок 10. Перезапустіть ваш комп'ютер і помилка "служба профілів користувачів не вдалося увійти в систему" і "неможливо завантажити профіль користувача" у windows 10 має зникнути.

Варіант 2. Видалити та створити новий профіль користувача для облікового запису

Цей варіант видаляє профіль користувача, тим самим ви втратите всі налаштування свого облікового запису та персоналізацію.

Крок 1. Якщо є інший обліковий запис адміністратора, на якому немає помилки, вийдіть із поточного облікового запису (наприклад: сайт) та увійдіть до запису адміністратора.

Якщо у вас немає іншого облікового запису адміністратора для входу, ви можете зробити один з наступних варіантів нижче, щоб увімкнути вбудовану обліковий записадміністратора для входу в систему та перейти до кроку 2 нижче.

• А). Завантажтеся в безпечному режимі, увімкніть вбудований Адміністратор, вийдіть із системи та увійдіть до системи Administrator.
• б). Відкрийте вікно командного рядка під час завантаження, увімкніть вбудований адміністратор, перезавантажте комп'ютер і увійдіть до Administrator.

Крок 2. Зробіть резервну копіювсього, що ви не хочете втратити в папці профілю C: \ Users \ (ім'я користувача) (наприклад: сайт) відповідного облікового запису користувача в інше місце. Коли закінчите, видаліть папку C: \Users\ (ім'я користувача).

Крок 3. Натисніть кнопки windows + R, щоб відкрити діалогове вікно "Виконати", введіть regedit і натисніть кнопку OK.

Крок 4. У редакторі реєстру перейдіть до наведеного нижче розташування.

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

Крок 5. На лівій панелі у списку ProfileList натисніть довгий ключ, на якому помилка облікового запису. Праворуч видно профіль.

Крок 6. Видаліть профілі з помилкою с.bak та без.bak. Наприклад ( S-1-5-21-19949....-1001 та S-1-5-21-19949....-1001.bak)-видалити.

Крок 7. Закрийте редактор реєстру та перезавантажте комп'ютер, після чого він автоматично відтворить нового користувача.

Вирішимо проблему "Неможливо завантажити профіль користувача" простим способом

Спосіб 1. Цей спосібпрацює не у всіх, але багатьом він допоміг. Спробуйте скопіювати свої документи в папку (C:\Users\) в інше місце, щоб створити резервну копію про всяк випадок. Зазвичай проблема виникає через пошкодження файлу "NTUSER.DAT", розташованого в папці "C:UsersDefault". Щоб вирішити цю проблему, вам потрібно замінити файл "NTUSER.DAT" з іншого профілю. .

1. Зайдіть в систему в безпечному режимі з обліковим записом профілю, який працює.
2. Знайдіть файл (C:\Users\Default) "NTUSER.DAT" і перейменуйте розширення.DAT на.OLD. Має бути (NTUSER.OLD).
3. Знайдіть файл "NTUSER.DAT" у робочому профілі таких як "Гість", "Загальні". Приклад (C:UsersGuestNTUSER.DAT).
4. Скопіюйте його та вставте в папку за замовчуванням C:\Users\Default.
5. Перезавантажити комп'ютер.

Можете скопіювати цей файл з іншого комп'ютера з такою ж версією windows і вставити його до себе шляхом C:\Users\Default.

Спосіб 2. Можна спробувати замінити папку "C:\Users\" з іншого комп'ютера.

• Візьміть флешку у форматі FAT32 і запишіть на неї з іншого комп'ютера папку C:\Users\і закиньте до себе на комп'ютер.

Якщо хтось знає, як ще виправити помилку, "Служба профілів користувачів перешкоджає входу в систему" ще якимось методом, то пишіть у формі "повідомити про помилку".

Як відомо, служби Windows є одним з найбільш улюблених місць для атак на операційну систему. У найгіршому (для нас, звичайно) випадку атакуючий отримує можливість діяти на атакованому комп'ютері в контексті облікового запису, від імені якого запущена зламана служба. І якщо цей обліковий запис має адміністративні права, то фактично зловмисник отримує повний контроль над комп'ютером. Від версії до версії у Windows з'являються нові механізми, які забезпечують додаткову ізоляцію служб і, як наслідок, посилюють безпеку системи загалом. Я хотів би коротко розглянути, що принципово змінилося у цьому напрямі за останні кілька років.

Перші істотні зміни в механізмах захисту служб з'явилися в Windows XP Service Pack 2. Зараз вже складно собі це уявити, але до виходу SP2 всі служби операційної системи запускалися в контексті вбудованого облікового запису Local System, що володіє на комп'ютері максимально повними адміністративними правами. SP2 додав ще два записи: Local Service та Network Service. Принципові відмінності трьох перелічених записів можна знайти у табл. 1.

Таблиця 1

Відповідно, починаючи з Windows XP SP2, адміністратор міг настроювати запуск служби в контексті одного з вбудованих облікових записів, локального або доменного облікового запису. Тим не менш, більшість служб самої Windows, як і раніше, запускається в контексті Local System. Але навіть якщо абстрагуватися від цього, ситуація, коли кілька служб запускаються в контексті одного і того ж облікового запису, призводить до того, що успішний злам однієї служби, хай навіть без адміністративних привілеїв, потенційно відкриває для атакуючого будь-які інші ресурси, до яких має доступ обліковий запис зламаної служби.

У Windows Vistaвиникло кілька механізмів, що підвищують ізоляцію служб. Я зупинюся на двох.
Перший механізм – це унікальний ідентифікатор служби безпеки (Service SID). Цей SID генерується для кожної служби шляхом хешування імені служби за допомогою алгоритму SHA-1. До результату додається префікс S-1-5-80-. Переглянути SID служби можна за допомогою команди sc showsid, вказавши як параметр ім'я служби (див. мал. 1).
Мал. 1

Ви можете поекспериментувати, наприклад, зі службою W32Time. Для будь-якої папки на NTFS у налаштуваннях дозволів (permissions) потрібно лише ввести ім'я користувача у форматі NT SERVICE\<имя службы>, у разі NT SERVICE\w32time (див. рис 2).

Мал. 2

Натискаєте Check Names, потім ОК та бачите користувача (див. рис. 3), якому можна призначати права.

Мал. 3

Ще раз підкреслю, що w32time не є користувачем. Це – SID, але якщо так, його можна використовувати в списках ACL, причому як у графічний інтерфейс, так і в командному рядкута програмним шляхом. Більш того, сервісні SID можна використовувати в налаштуваннях Windows Firewall, застосовуючи ті чи інші правила до конкретної служби, точніше до конкретного Service SID.

Друга зміна, що з'явилася у Vista, – це ідентифікатори безпеки нового типу – Write Restricted SID. Якщо служба позначена типом Write Restricted SID, то її SID додається в її маркері доступу в спеціальний список – Restricted SID list. При спробі такої служби записати у будь-який файл алгоритм перевірки прав доступу дещо змінюється. А саме, служба зможе записати у файл тільки в тому випадку, якщо дозвіл Write дано явно SID-у цієї служби, або групі Everyone.
Наприклад, обліковий запис ServiceAccount1 певної служби Service1 є членом групи Group1. Група Group1 і тільки вона має дозвіл Write на папку Folder1. Що станеться, якщо служба спробує змінити щось у папці Folder1? У звичайній ситуації ServiceAccount1 отримає можливість запису до папки за рахунок членства в Group1. Але якщо служба Service1 позначена типом Write Restricted SID, то її маркер доступу обробляється інакше, і вона не зможе записати що-небудь у папку, оскільки їй явно не дано дозвіл Write, так само як не дано це право і Everyone.
Переглянути тип ідентифікатора безпеки можна за допомогою команди sc qsidtype (див. мал. 4).

Мал. 4

Зокрема, на рис. 4 ви бачите, що служба Windows Firewall належить саме до згаданого типу. Природно, що введений цей тип був для того, щоб додатково обмежити можливості служби (можливості стерти або перезаписати що-небудь) у разі успішного злому. Потрібно також додати, що даний механізмпризначений насамперед задля адміністраторів систем, а розробників служб. Аби тільки користувалися.

У Windows 7 та Windows Server 2008 року R2 робота над ізоляцією служб була продовжена. З'явилися віртуальні облікові записи (virtual accounts) та керовані облікові записи служб (managed service accounts). А власне у чому проблема? Потрібно ізолювати служби – давайте створимо необхідну кількість локальних (або доменних) облікових записів користувачів. Для кожної критично важливої ​​служби свій рахунок. Так, це рішення. Але для локальних служб, яким не потрібний мережевий доступдо ресурсів, необхідно вручну задавати паролі, довгі та складні. І також вручну їх час від часу оновлювати. Ну, якщо ми за безпеку. Для служб, які мають по мережі звертатися до ресурсів у контексті доменних облікових записів, плюс до цього ще потрібно реєструвати Service Principal Name (SPN), свій для кожної служби. Це не зручно. Але незручність стає реальною проблемою, коли служба через прострочений пароль не може стартувати. А адмін просто забув змінити пароль.

Так ось для локальних служб можна використовувати virtual accounts. Віртуальний обліковий запис використовується лише для запуску певної служби, точніше для створення контексту безпеки конкретної служби. Ви не знайдете цей запис серед користувачів у Computer Management. І, тим не менш, це – account, зі своїм унікальним SID-ом, зі своїм профілем користувача. Отже, ви можете призначати йому дозволи і тим самим розмежовувати права доступу і чітко їх контролювати. Але так само як і у випадку з Local System, Local Service та Network Service операційна системаперебирає завдання управління паролями для virtual accounts. Ми ізолюємо потрібні служби, і у нас не болить голова про паролі.

Щоб створити віртуальний обліковий запис, потрібно в установках служби вказати як обліковий запис: NT SERVICE\<имя службы>(Див. рис 5)

Мал. 5

Після запуску служби virtual account відобразиться в консолі Services (мал. 6), а в папці Users ви помітите появу нового профілю користувача.
Мал. 6

За форматом це дуже схоже на сервісний SID. Але підкреслю, це не просто додатковий унікальний SID для служби як Vista, це окремий обліковий запис і, відповідно, інший рівень ізоляції. За умовчанням віртуальні облікові записи використовуються, наприклад, для пулів додатків (application pool) у IIS 7.5 у Windows Server 2008 R2. Треба мати на увазі, що virtual accounts призначені для локального використання. Якщо служба, запущена в контексті virtual account, звертається по мережі, це звернення походить від імені облікового запису комп'ютера, на якому служба запущена. Якщо ж необхідно, щоб служба, наприклад SQL Server, працювала по мережі від імені доменного облікового запису, то тут допоможуть managed service accounts. З ними, однак, пов'язано більше тонкощів, і їх розгляд виходить за межі цього посту. Докладніше з MSA можна познайомитись

Проблеми, пов'язані з пошкодженням профілю користувача, є одними з найпоширеніших, зазвичай вони супроводжуються повідомленнями "Не вдається увійти в обліковий запис" та "Ви увійшли до системи з тимчасовим профілем". Тому сьогодні ми вирішили розповісти, як влаштований профіль користувача, що може призвести до його ушкодження та якими методами можна відновити нормальну роботусистеми.

Почнемо з симптомів, першою ознакою того, що щось пішло не так служить напис Підготовка Windows на екрані привітання, замість Ласкаво просимо.

Потім вас "порадує" повідомлення "Неможливо увійти до облікового запису"з варіантами повторного входу та продовження роботи.

Якщо закрити дане вікно, то ми побачимо ще одне повідомлення, що трохи проливає світло на те, що відбувається "Ви увійшли до системи з тимчасовим профілем".

Якщо профіль тимчасовий, виходить, що з якоїсь причини постійний профіль користувача завантажити не вдалося. Тому не будемо пороти гарячку, а спробуємо розібратися, що таке профіль користувача, які дані він містить і що може бути причиною неможливості його завантаження.

У першому наближенні профіль користувача - це вміст директорії C:\Users\Name, де Name- ім'я користувача, там ми побачимо звичні для всіх папки Робочий стіл, Документи, Завантаження, Музикаі т.д., а також приховану папку AppData.

З видимою частиною профілю все зрозуміло – це стандартні папкиДля розміщення даних користувача, до речі ми можемо спокійно перепризначити їх на будь-яке інше розташування. В останніх версіях Windowsможна перепризначити навіть Робочий стіл.

Це цілком зручно та виправдано, з урахуванням того, скільки всього користувачі тримають на робочих столах, а ті ж самі SSD далеко не гумові. Але не про це, набагато цікавіше те, що приховано від очей простого користувача.

Папка AppDataпризначена для зберігання налаштувань та даних користувача встановлених програмі у свою чергу містить ще три папки: Local, LocalLowі Roaming.

Розглянемо їх докладніше:

• Roaming- це "легка" і, як випливає з назви, частина профілю, що переміщається. Вона містить всі основні налаштування програм і робочого середовища користувача, якщо в мережі використовуються профілі, що переміщуються, то її вміст копіюється на загальний ресурс, а потім підвантажується на будь-яку робочу станціюкуди виконав вхід користувач.
• Local- "важка" частина профілю, містить кеш, тимчасові файли та інші, які застосовуються тільки до поточного ПК налаштування. Може досягати значних розмірів, через мережу не переміщається.
• LocalLow- Локальні дані з низькою цілісністю. У цьому випадку ми знову маємо невдалий переклад терміна low integrity levelНасправді рівні цілісності - це ще один механізм забезпечення безпеки. Не вдаючись у подробиці можна сказати, що високою цілісністю мають дані та процеси системи, стандартної – користувача, низькою – потенційно небезпечні. Якщо заглянути в цю папку, то побачимо там дані пов'язані з браузерами, флеш-плеєром тощо. Логіка тут проста - у разі будь-якої позаштатної ситуації або атаки процеси запущені з цієї папки не матимуть доступу до даних користувача.

А тепер саме час подумати, чи пошкодження яких із зазначених даних може призвести до проблем із завантаженням профілю? Мабуть, що жодних. Отже, у профілі має бути щось ще. Звичайно воно є, і якщо уважно подивитися на скріншот профілю користувача вище, ми побачимо там файл NTUSER.DAT. Якщо увімкнути відображення захищених системних файлів , ми побачимо цілий набір файлів з аналогічними іменами.

От ми й підібралися до суті. У файлі NTUSER.DATзнаходиться гілка реєстру HKEY_ CURRENT_USERдля кожного користувача. І саме пошкодження гілки реєстру унеможливлює завантаження профілю користувача. Але не все так погано, як здається на перший погляд. Реєстр добре захищений від можливих збоїв.

Файли ntuser.dat.LOGмістять журнал змін реєстру з моменту останнього вдалого завантаження, що уможливлює відкотитися назад у разі виникнення будь-яких проблем. Файли із розширенням regtrans-msє журналом транзакцій, що дозволяє підтримувати гілку реєстру у несуперечливому вигляді у разі раптового припиненняроботи під час внесення змін до Реєстру. У цьому випадку всі незавершені транзакції будуть автоматично відкачені.

Найменший інтерес представляють файли blf- це журнал резервного копіюваннягілки реєстру, наприклад, штатним інструментом Відновлення системи.

Таким чином, з'ясувавши з чого складається профіль користувача та пошкодження якої саме його частини унеможливлює завантаження, розглянемо способи відновлення системи.

Спосіб 1. Усунення проблеми у профілі користувача

Перш за все, при виникненні проблем зі входом в обліковий запис слід перевірити на помилки системний том, для цього завантажтеся в консоль відновлення або середу Windows PE та виконайте команду:

Chkdsk c: /f

У деяких випадках цього може виявитися достатньо, але ми розглядатимемо найгірший варіант. Перевіривши диск завантажимося в систему і відкриємо редактор реєстру, перейдемо у гілку

Зліва побачимо кілька розділів з ім'ям типу S-1-5та довгим "хвістом", які відповідають профілям користувачів. Для того щоб визначити, який профіль належить якому користувачу, зверніть увагу на ключ. ProfileImagePathсправа:

Отже, потрібний профіль знайдено, тепер знову дивимося в дерево зліва, в якому повинні бути дві гілки, одна з яких із закінченням bak.

Тепер наше завдання перейменувати основний профіль у bak, а bakв основній. Для цього додаємо до основного профілю будь-яке розширення, скажімо .ba, потім перейменовуємо резервний профіль на основний, прибравши з його імені .bak, і знову перейменовуємо baв bak.

До речі, можуть бути ситуації, коли для вашого облікового запису існує лише гілка bak, у цьому випадку просто приберіть її розширення.

Потім знаходимо в новому основному профілі два ключі RefCountі Stateі встановлюємо значення обох у нуль.

Перезавантажуємось. У більшості випадків, якщо профіль серйозно не пошкоджений, ці дії призведуть до успіху, інакше переходимо до способу 2.

Спосіб 2. Створення нового профілю та копіювання туди даних користувача

Офіційна документація Microsoft рекомендує створити новий обліковий запис і скопіювати дані профілю. Але такий підхід породжує цілий пласт проблем, оскільки Новий користувач- це новий суб'єкт безпеки, а, отже, ми відразу отримуємо проблему з правами доступу, крім того потрібно буде заново підключити всі мережеві облікові записи, заново імпортувати особисті сертифікатизробити експорт-імпорт пошти (якщо використовуєте Outlook). Загалом розваг вистачить і не факт, що всі проблеми вдасться успішно подолати.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

і видаляємо всі гілки, які стосуються вашого профілю. Перезавантажуємось.

Після цього Windows створить для вашого облікового запису новий профіль, начебто вперше увійшли до цю систему. Але ваш ідентифікатор безпеки (SID), при цьому залишиться незмінним, ви знову опинитеся власником всіх власних об'єктів, сертифікатів тощо, тощо.

Для подальших дій вам знадобиться ще один обліковий запис з правами адміністратора, створимо його, у нашому випадку це обліковий запис temp.

Після чого виходимо з нашого основного облікового запису (або перезавантажуємося) та входимо до допоміжного облікового запису. Наше завдання – скопіювати весь вміст старої папки профілю, крім файлів NTUSER, у нову папку. Для цього краще використовувати файловий менеджер(Total Commander, Far і т.д.) запущений з правами адміністратора.

Після закінчення процесу копіювання знову входимо до свого облікового запису та перевіряємо роботу облікового запису. Усі дані та налаштування повинні знову опинитися на своїх місцях. Однак не поспішайте видаляти стару папкуі додатковий обліковий запис, можливо, деякі дані потрібно перенести ще раз. Це може бути пов'язано з тим, що деякі програми, що зберігають налаштування у пошкодженій гілки реєстру, можуть вирішити, що виконана нова установкаі перезаписати перенесені файли, у разі досить вибірково скопіювати необхідні дані.

Після того, як ви деякий час попрацюєте з системою і переконаєтеся, що все знаходиться на своїх місцях і працює як треба – можете видалити стару папку та додатковий обліковий запис.

• Теги: