共用方式為

如果預設登錄或檔案權限被修改,Microsoft Store 應用程式將無法啟動

本文有助於修正當修改預設登錄或檔案許可權時,您無法啟動 Microsoft 市集應用程式的問題。

套用於:Windows 10 - 所有版本
原始 KB 編號: 2798317

注意

本文適用於 IT 專業人員。 對於遇到 Microsoft 市集應用程式問題的家庭使用者,請移至 修正來自 Microsoft Store 的應用程式問題。

問題 1

當您選取Microsoft市集應用程式時,應用程式會開始啟動,然後 Windows 只會返回開始畫面。 畫面上不會顯示任何錯誤。

Microsoft-Windows-Immersive-Shell 事件 5961 會記錄在 Applications and Services Logs\Microsoft\Windows\Apps\Microsoft-Windows-TWinUI/Operational 事件記錄檔路徑下

Log Name:      Microsoft-Windows-TWinUI/Operational  
Source:        Microsoft-Windows-Immersive-Shell  
Date:          DateTime  
Event ID:      5961  
Task Category: (5961)  
Level:         Error  
Keywords:  
User:          UserName  
Computer:      ComputerName  
Description:  
Activation of the app <app name> for the Windows.Launch contract failed with error: The app didn't start.

注意

範例事件 <的應用程式部分應用程式名稱>會根據無法啟動的應用程式而變更。

應用程式名稱>的<可能值包括,但不限於:

microsoft.windowscommunicationsapps_8wekyb3d8bbwe!Microsoft.WindowsLive.Chat

其他內建Microsoft市集應用程式的前置詞包括:

Microsoft.BingFinance_8wekyb3d8bbwe!<應用程式識別碼>
Microsoft.BingMaps_8wekyb3d8bbwe!<應用程式識別碼>
Microsoft.BingNews_8wekyb3d8bbwe!<應用程式識別碼>
Microsoft.BingSports_8wekyb3d8bbwe!<應用程式識別碼>
Microsoft.BingTravel_8wekyb3d8bbwe!<應用程式識別碼>
Microsoft.BingWeather_8wekyb3d8bbwe!<應用程式識別碼>
Microsoft.Bing_8wekyb3d8bbwe!<應用程式識別碼>
Microsoft.Camera_8wekyb3d8bbwe!<應用程式識別碼>
Microsoft.Media.PlayReadyClient_8wekyb3d8bbwe!<應用程式識別碼>
microsoft.microsoftskydrive_8wekyb3d8bbwe!<應用程式識別碼>
Microsoft.Reader_8wekyb3d8bbwe!<應用程式識別碼>
Microsoft.VCLibs.110.00_8wekyb3d8bbwe!<應用程式識別碼>
microsoft.windows.authhost.a_8wekyb3d8bbwe!<應用程式識別碼>
microsoft.windowscommunicationsapps_8wekyb3d8bbwe!<應用程式識別碼>
microsoft.windowsphotos_8wekyb3d8bbwe!<應用程式識別碼>
Microsoft.WinJS.1.0.RC_8wekyb3d8bbwe!<應用程式識別碼>
Microsoft.WinJS.1.0_8wekyb3d8bbwe!<應用程式識別碼>
Microsoft.XboxLIVEGames_8wekyb3d8bbwe!<應用程式識別碼>
Microsoft.ZuneMusic_8wekyb3d8bbwe!<應用程式識別碼>
Microsoft.ZuneVideo_8wekyb3d8bbwe!<應用程式識別碼>

問題 2

您無法啟動Microsoft市集應用程式、開啟 \[開始\] 畫面,並在 Windows 中使用 \[搜尋\]。 此外,您會在應用程式記錄檔中收到下列事件記錄檔:

Log Name: Application  
Source: Application Error  
Event ID: 1000  
Task Category: (100)  
Level: Error  
Keywords: Classic  
User: N/A  
Description:  
Faulting application name: xxxx.exe, version: 10.1605.1606.6002, time stamp: 0x5755acef  
Faulting module name: xxxxxx.dll, version: 10.0.14393.1198, time stamp: 0x5902836c  
Exception code: 0xc000027b  
Fault offset: 0x00000000006d5eab  
Faulting process id: 0x29c4  
0xc000027b: An application-internal exception has occurred. This error occurs when an access denied error happens during app initialization that is fatal and cause an exception that leads to the crash.

如果您使用行程監視器來追蹤應用程式的可執行檔案或相關檔案,您可能會看到 拒絕 存取已記錄。 它指向目前登入用戶的遺漏許可權。 包括:

  1. 登錄區及其子機碼:

    1. HKEY_CLASSES_ROOT
    2. HKEY_LOCAL_MACHINE\Drivers
    3. HKEY_LOCAL_MACHINE\HARDWARE
    4. HKEY_LOCAL_MACHINE\SAM
    5. HKEY_LOCAL_MACHINE\SOFTWARE
    6. HKEY_LOCAL_MACHINE\SYSTEM
    7. HKEY_USERS

  2. 針對檔案子系統:

    1. 程序檔 - 讀取、讀取和執行,以及列出資料夾內容
    2. Windows - 讀取、讀取和執行,以及列出資料夾內容
    3. Users\<userName>\AppData\Local\Microsoft\Windows\WER - 特殊許可權(列出資料夾/讀取數據,以及建立資料夾/附加數據)

問題 1 的原因

登錄和或檔案系統許可權可能已從預設值變更。

[所有應用程式套件] 群組是具有預先定義 SID 的已知群組。 群組必須具有登錄和文件系統特定位置的特定存取權,Microsoft Store Apps 才能正常運作。

問題 2 的原因

之所以發生此問題,是因為任何或所有密鑰中遺漏讀取許可權。 在此情況下, 會記錄0xc000027b 。 登錄位置或檔案子系統位置上所有 APPLICATION PACKAGES 的許可權遺漏了這個錯誤,但沒有任何例外狀況。

登錄和檔案系統許可權必須還原為允許Microsoft市集應用程式運作的狀態

注意

只變更已知造成存取遭拒之錯誤的登錄機碼許可權。 不正確地變更登錄機碼的許可權可能會導致嚴重問題,或無意中削弱安全性設定。

無法復原在整個登錄和文件系統中傳播的廣泛許可權變更。 Microsoft會根據您的支援合約提供商業上合理的努力。 不過,您目前無法回復這些變更。 我們只能藉由重新格式化硬碟和重新安裝操作系統,來保證您可以返回建議的現用設定。

如果您使用組策略來管理許可權,或不確定組策略是否用來管理許可權,請遵循下列步驟:

  • 從網域取消加入計算機,或將計算機放入已啟用封鎖原則繼承的測試 OU 中。 此動作可防止網域型組策略在修正許可權變更之後重新套用許可權變更,並再次中斷新式應用程式。
  • 根據下列詳細數據,新增所需的許可權。
  • 編輯管理許可權的組策略,使其不再中斷新式應用程式。

登錄和檔案系統許可權必須還原回允許Microsoft市集應用程式運作的狀態。 請遵循此方法來解決問題:

  1. 判斷檔案系統許可權是否已變更。 如果沒有,請參閱下方的 [詳細資訊 ] 區段。
  2. 如果是這樣,他們是如何改變的? 手動還是使用組策略?
  3. 判斷登錄許可權是否已變更 If not,請參閱 下方的 [詳細資訊 ] 區段。
  4. 如果是這樣,他們是如何改變的? 手動還是使用組策略?
  5. 請特別確認 secpol 和 GPP。

判斷檔案系統許可權是否已變更

檢查下面列出的資料夾。 判斷 [所有應用程式套件] 群組是否具有指定的存取權。 大部分但不是所有 Windows、Program Files 和 WER 的子目錄,也會授與所有應用程式套件群組的許可權。

  • 程序檔 - 讀取、讀取和執行,以及列出資料夾內容
  • Windows - 讀取、讀取和執行,以及列出資料夾內容
  • 使用者<userName>\AppData\Local\Microsoft\Windows\WER - 特殊許可權(列出資料夾/讀取數據,以及建立資料夾/附加數據)

判斷登錄許可權是否已變更

檢查下面所列的登錄機碼。 確定[所有應用程式套件] 群組具有下列登入路徑的 [讀取] 權限:

  • HKEY_CLASSES_ROOT
  • HKEY_LOCAL_MACHINE\Drivers
  • HKEY_LOCAL_MACHINE\HARDWARE
  • HKEY_LOCAL_MACHINE\SAM
  • HKEY_LOCAL_MACHINE\SOFTWARE
  • HKEY_LOCAL_MACHINE\SYSTEM
  • HKEY_USERS

以上所列登錄機碼的大多數但並非所有子機碼都會授與 [所有應用程式套件] 群組讀取許可權。

判斷組策略是否用來管理許可權

  1. 以使用者遇到問題的使用者身分登入計算機。

  2. 開啟系統管理命令提示字元,然後執行下列命令:

    gpresult /h <path>\gpreport.html

  3. 開啟檔案gpreport.html,然後展開下列路徑:

    計算機設定> 原則\Windows 設定\安全性設定。 尋找 檔案系統 和登錄。 如果存在,GP 會指派許可權。 您必須編輯 GP,以包含所有應用程式套件群組的必要許可權。

修正問題的步驟

視檔系統許可權的變更方式而定,將決定如何從問題中復原。 最常以手動方式和組策略變更許可權。

重要

在廣泛部署之前,請務必先在實驗室中測試解決方案。 變更登錄和文件系統許可權之前,請務必先備份任何重要數據。

修正手動變更的文件系統許可權

  1. 開啟 [檔案總管]。
  2. 流覽至 c:\Program Files。
  3. 以滑鼠右鍵按下並選取 屬性
  4. 選取安全性索引標籤。
  5. 選取 [進階] 按鈕。
  6. 選取 [ 變更許可權] 按鈕。
  7. 選取新增按鈕。
  8. 選取 [ 選取主體 ] 連結。
  9. 選取 [位置] 按鈕,然後選取本機計算機。
  10. 新增 [所有應用程式套件] 組名,然後選取 [ 確定]。
  11. 確定 Type = allow and Applies = This folder, subfolder, and files.
  12. 核取 [讀取和執行]、[列出資料夾內容] 和 [讀取]。
  13. 核取 [ 將所有子物件許可權取代為此物件 中可繼承的許可權專案] 複選框。
  14. 選取 [套用],然後選取 [確定]。
  15. 重複 c:\Windows。
  16. 重複 c:\Users,但授與 [所有應用程式套件] 群組 [完全控制]。
  17. 選取 [套用],然後選取 [確定]。

修正組策略所變更的檔案系統許可權

讓組策略管理員執行下列步驟:

  • 開啟組策略管理主控台。
  • 找出在步驟 中識別的 GPO 判斷組策略是否用來管理許可權
  • 以滑鼠右鍵按下並選取 [編輯]。
  • 移至 [計算機 Configuration\Policy\Windows Settings\Security Settings\File System] 位置。
  • 如果已建立路徑的專案,您可以加以編輯。 如果沒有專案存在,請為每個路徑建立新的專案。
  • 若要建立新的專案,請以滑鼠右鍵按下文件系統,然後選取 [ 新增檔案]。
  • 流覽至 c:\Program Files 的路徑,選取 [ 確定]。
  • 選取新增按鈕。
  • 選取 [位置] 按鈕,然後選取本機計算機名稱。
  • 新增 [所有應用程式套件] 群組,並授與他們 [讀取]、[讀取] 和 [執行],以及 [列出資料夾內容] 許可權。
  • 選取 [套用],然後選取 [確定]。
  • 選取 [ 以可繼承的許可權取代所有子資料夾和檔案的現有許可權 ] 選項。
  • 重複 C:\Windows。
  • 不過,針對 C:\Users 重複,授與 [所有應用程式套件] 群組 [完全控制]。

您必須等候組策略變更複寫到所有域控制器,並讓所有用戶端更新其組策略設定。

注意

處理文件系統變更會在第一次處理此原則時產生一些登入延遲。 除非對原則進行變更,否則後續登入將不會受到影響。 或者,您可以使用使用者登入後呼叫的腳本會以排程工作的形式執行。

修正手動變更的登錄許可權

  • 開啟regedit.exe。
  • 以滑鼠右鍵按兩下HKEY_Users,然後選取 [屬性]。
  • 請確定 [所有應用程式套件] 都有 [讀取]。
  • 重複HKEY_CLASSES_ROOT。
  • 展開HKEY_LOCAL_MACHINE。 檢查子機碼硬體、SAM、軟體、系統。 請確定[所有應用程式套件] 都有 [讀取] 權限。

修正組策略所變更的登錄許可權

讓組策略管理員執行下列步驟:

  • 開啟組策略管理主控台。
  • 找出在步驟 中識別的 GPO 判斷組策略是否用來管理許可權
  • 以滑鼠右鍵按下並選取 [編輯]。
  • 移至 [計算機 Configuration\Policy\Windows Settings\Security Settings\Registry] 位置。
  • 以滑鼠右鍵按下並選取 [ 新增金鑰]。
  • 選取 [CLASSES_ROOT]。
  • 選取新增按鈕。
  • 選取 [位置] 按鈕,然後選取本機計算機名稱。
  • 新增 [所有應用程式套件] 群組,並授與他們 [讀取]。
  • 針對 用戶重複。
  • 針對 MACHINE\HARDWARE、MACHINE\SAM、MACHINE\SOFTWARE 和 MACHINE\SYSTEM 重複。

其他相關資訊

如需詳細資訊,請參閱 Microsoft Store Apps 如果使用者配置檔或 ProgramData 目錄從其預設位置移動,則無法啟動。

檔案系統和登錄訪問控制清單修改

Windows XP 和更新版本的 Windows 在整個系統中都有收緊的許可權。 因此,不需要對默認許可權進行廣泛的變更。

額外的選擇性訪問控制清單 (DACL) 變更可能會使Microsoft完成的所有或大部分應用程式相容性測試失效。 這類變更經常不會經過Microsoft在其他設定上完成的徹底測試。 支援案例和欄位體驗已顯示 DACL 編輯會經常以非預期的方式變更操作系統的基本行為。 這些變更會影響應用程式相容性和穩定性,並降低有關效能和功能的功能。

由於這些變更,我們不建議在生產系統上操作系統隨附的檔案上修改文件系統 DACL。 建議您根據已知的威脅評估任何其他 ACL 變更,以瞭解變更可能會對特定組態帶來的任何潛在優點。 基於這些原因,我們的指南只會對 Windows 2000 進行最少的 DACL 變更。 針對 Windows 2000,需要數個次要變更。 這些變更會在 Windows 2000 安全性強化指南中說明。

無法復原整個登錄和文件系統中傳播的廣泛許可權變更。 新的資料夾,例如未出現在作業系統原始安裝中的使用者配置檔資料夾,可能會受到影響。 因此,如果您:

  • 拿掉執行 DACL 變更的組策略設定
  • 套用系統預設值

%SystemDrive% 資料夾中 DACL 的變更可能會導致下列情況:

  • 回收站不再如設計般運作,且無法復原檔案。
  • 降低安全性,讓非系統管理員檢視系統管理員回收站的內容。
  • 使用者配置檔無法如預期般運作。
  • 降低安全性,讓互動式用戶能夠讀取某些或系統上所有使用者配置檔的讀取許可權。
  • 當許多 DACL 編輯載入到包含長時間登入時間或重複重新啟動目標系統的組策略物件時,效能問題。
  • 效能問題,包括系統速度變慢,每16小時左右重新套用組策略設定。
  • 應用程式相容性問題或應用程式當機。

為了協助您移除這類檔案和登錄許可權最差的結果,Microsoft會根據您的支援合約提供商業上合理的努力。 不過,您目前無法回復這些變更。 我們只能藉由重新格式化硬碟和重新安裝操作系統,來保證您可以返回建議的現用設定。

例如,對登錄 DACL 的修改會影響登錄區的大部分,並可能導致系統不再如預期般運作。 修改單一登錄機碼上的 DACL,對許多系統造成較少的問題。 建議您先仔細考慮並測試這些變更,再實作這些變更。 如果您重新格式化並重新安裝操作系統,我們只能保證您可以返回建議的現用設定。