Событие 1202 с состоянием 0x534 на контроллерах Windows Server 2008 R2 после изменения политики безопасности

В этой статье приводится решение для события, зарегистрированного на контроллерах домена после изменения политики безопасности.

Исходная версия продукта: Windows 7 Пакет обновления 1, Windows Server 2012 R2
Исходный номер КБ: 2000705

Симптомы

Журнал приложений на контроллерах домена Windows Server 2008 R2 содержит код события 1202 с кодом состояния «0x534: сопоставление между именами учетных записей и кодами безопасности не было сделано» при каждом применении политики безопасности. Соответствующая часть события с ид 1202 показана ниже:

Имя журнала: Приложение
Источник: SceCli
Дата: MM/DD/YYYY HH:MM:SS AM | PM
ИД события: 1202
Категория задачи: нет
Уровень: предупреждение
Ключевые слова: классическая
Пользователь: Н/А
Компьютер:
Описание:
Политики безопасности распространялись с предупреждением. 0x534: сопоставление между именами учетных записей и ИД безопасности не было сделано.

Дополнительные справки по этой проблеме доступны в https://support.microsoft.com . Запрос «устранение неполадок с событиями 1202».

Ошибка 0x534, когда учетная запись пользователя в одном или более объектах групповой политики не может быть разрешена в sid. Эта ошибка может быть вызвана неправильным или удаленным номером учетной записи пользователя, на который ссылается в филиале «Права пользователя» или «Ограниченные группы» ВПО. Чтобы устранить это событие, обратитесь к администратору домена, чтобы выполнить следующие действия:

The WINLOGON. ЖУРНАЛ содержит следующий текст:

.
Настройте S-1-1-0.
Настройте S-1-5-11.
Настройте S-1-5-32-554.
Настройте S-1-5-32-548.
Настройте S-1-5-32-550.
Настройте S-1-5-9.
Настройте WdiServiceHost.
Ошибка 1332: сопоставление между именами учетных записей и ИД безопасности не было сделано.
Не удается найти WdiServiceHost.
Настройте S-1-5-21-2125830507-553053660-2246957542-519.
добавьте SeTimeZonePrivilege.
Настройка прав пользователя завершена с одной или более ошибкой. .

По умолчанию GPTMPL. Политика INF в политике контроллеров домена по умолчанию выглядит так:

SeSystemProfilePrivilege = S-1-5-80-3139157870-2983391045-3678747466-658725712-1809340420, S-1-5-32-544

После изменения несвязанных параметров безопасности в политике контроллеров домена по умолчанию в политике контроллеров домена по умолчанию отображается SeSystemProfilePrivilege запись ниже:

Дополнительные сведения см. в записи событий SceCli 1202при каждом обновлении параметров групповой политики компьютера под управлением Windows Server 2008 R2 Или Windows 7.

Причина

При изменении любого параметра безопасности в политике контроллеров домена по умолчанию с помощью консоли управления групповыми политиками (GPMC) из консоли контроллера домена Windows Server 2008 R2 консоль управления групповыми политиками неправильно преобразует SID для учетной записи Wdiservice в политике в имя пользователя, которое не распознается локальными компьютерами, на которых применена политика. Эта проблема также возникает, когда компьютер-член Windows 7 или Windows Server 2008 R2 изменяет параметры безопасности в политике контроллеров домена по умолчанию на Windows Server 2008 R2 контроллере домена.

Обходной путь

В качестве временного решения вручную отредактируете GPTMPL. INF-файл путем добавления префикса службы NT \ перед именем учетной записи wdiservicehost для пользователя производительности системы профилей в политике контроллеров домена по умолчанию. Это необходимо делать каждый раз, когда все параметры безопасности в политике контроллеров домена по умолчанию администрироваться с помощью GPMC.

Это позволит предотвратить регистрацию события 1202 до следующего изменения политики безопасности в политике контроллеров домена по умолчанию соответствующими версиями операционной системы.

Откройте GPTTMPL. INF-файл для политики контроллеров домена по умолчанию контроллера домена, занося в журнал событие с ид 1202. Путь к GPTTMPL. INF-файл, если SYSVOL расположен ниже %SystemRoot%:
%SystemRoot%\Sysvol\domain\Policies\<6ac1786c-016f-11d2-945f-00c04fb984f9>\MACHINE\Microsoft\Windows NT\SecEdit\GPTTMPL.INF

Найдите SeSystemProfilePrivilege запись в GPTTMPL. INF и измените его следующим образом:

Before: SeSystemProfilePrivilege = *S-1-5-32-544,WdiServiceHost

After: SeSystemProfilePrivilege = *S-1-5-32-544,nt service\WdiServiceHost

Служба NT \ должен отображаться после делеметра «,». Не префикс NT Service \ со знаком «*».

Сохраните изменения в GPTTMPL.INF.

Из командной консоли контроллера домена, GPTTMPL которого. INF-файл был изменен в шаге 1, введите Gpupdate /force.

Просмотреть журнал приложений, чтобы узнать, был ли зарегистрирован код события 1202 с кодом 0x534 состояния. Если да, просмотрите WINLOGON. LOG, чтобы узнать, вызвано ли событие темой безопасности WdiServiceHost.

Дополнительная информация

В политике контроллеров домена по умолчанию на контроллере домена Windows Server 2008 R2 ИД безопасности для учетной записи службы диагностики (wdiservicehost) предоставляется место, куда она добавляется в локальный SAM компьютера, берется SCE, а затем добавляется в SeSystemProfilePrivilege GPTTMPL.INF.

При внесении изменений в политику контроллеров домена по умолчанию на контроллере домена Windows Server 2008 из-за неработоспособного кода ИД безопасности для учетной записи Wdiservicehost заменяется учетной записью SAM, но не удается добавить префикс службы NT, \ необходимый SCECLI для разрешения имени учетной записи. (то есть NT Service\Wdiservicehost).

Проблема, описанная в этой политике, возникает, когда редактор управления групповыми политиками на компьютерах с Windows 7 или Windows Server 2008 R2 используется для изменения параметров безопасности в политике контроллеров домена по умолчанию на контроллере домена Windows Server 2008.

Эта проблема не возникает, если политика безопасности изменена в политиках, кроме политики контроллеров домена по умолчанию.

Несмотря на ведение журнала события 1202 с кодом 0x534, эта проблема не мешает компьютерам с Windows применять политику безопасности, содержануюся в политике контроллеров домена по умолчанию. Однако не существует способа отличить событие ложного срабатывания, вызванное этой проблемой, от подлинных неправильных насображений, которые препятствуют применении политики безопасности, заданной с помощью того же кода состояния события 1202 и 0x534 состояния.

Troubleshoot SCECLI 1202 events

This article describes ways to troubleshoot and to resolve SCECLI 1202 events.

Original product version: В Windows Server 2012 R2
Original KB number: В 324383

Summary

The first step in troubleshooting these events is to identify the Win32 error code. This error code distinguishes the type of failure that causes the SCECLI 1202 event. Below is an example of a SCECLI 1202 event. The error code is shown in the Description field. In this example, the error code is 0x534. The text after the error code is the error description. After you determine the error code, find that error code section in this article, and then follow the troubleshooting steps in that section.

0x534: No mapping between account names and security IDs was done.

0x6fc: The trust relationship between the primary domain and the trusted domain failed.

Error code 0x534: No mapping between account names and security IDs was done

These error codes mean that there was a failure to resolve a security account to a security identifier (SID). The error typically occurs either because an account name was mistyped, or because the account was deleted after it was added to the security policy setting. It typically occurs in the User Rights section or the Restricted Groups section of the security policy setting. It may also occur if the account exists across a trust and then the trust relationship is broken.

To troubleshoot this issue, follow these steps:

Determine the account that is causing the failure. To do so, enable debug logging for the Security Configuration client-side extension:

Start Registry Editor.

Locate and then select the following registry subkey:

On the Edit menu, select Add Value, and then add the following registry value:

• Value name: ExtensionDebugLevel
• Data type: DWORD
• Value data: 2

Exit Registry Editor.

Refresh the policy settings to reproduce the failure. To refresh the policy settings, type the following command at the command prompt, and then press ENTER:

This command creates a file that is named Winlogon.log in the %SYSTEMROOT%\Security\Logs folder.

Find the problem account. To do so, type the following command at the command prompt, and then press ENTER:

The Find output identifies the problem account names, for example, Cannot find MichaelPeltier. In this example, the user account MichaelPeltier doesn’t exist in the domain. Or it has a different spelling, such as MichellePeltier.

Determine why this account can’t be resolved. For example, look for typographical errors, a deleted account, the wrong policy that applies to this computer, or a trust problem.

If you determine that the account must be removed from the policy, find the problem policy and the problem setting. To determine which setting contains the unresolved account, type the following command at the command prompt on the computer that’s producing the SCECLI 1202 event, and then press ENTER:

For this example, the syntax and the results are:

It identifies GPT00002.inf as the cached security template from the problem Group Policy object (GPO) that contains the problem setting. It also identifies the problem setting as SeInteractiveLogonRight. The display name for SeInteractiveLogonRight is Logon locally.

For a map of the constants (for example, SeInteractiveLogonRight) to their display names (for example, Logon locally), see the Microsoft Windows 2000 Server Resource Kit, Distributed Systems Guide. The map is in the User Rights section of the Appendix.

Determine which GPO contains the problem setting. Search the cached security template that you identified in step 4 for the text GPOPath= . In this example, you would see:

To find the friendly name of the GPO, use the Resource Kit utility Gpotool.exe. Type the following command at the command prompt, and then press ENTER:

Search the output for the GUID that you identified in step 5. The four lines that follow the GUID contain the friendly name of the policy. For example:

Now you’ve identified the problem account, the problem setting, and the problem GPO. To resolve the problem, remove or replace the problem entry.

Error code 0x2: The system cannot find the file specified

This error is similar to 0x534 and to 0x6fc. It’s caused by an irresolvable account name. When the 0x2 error occurs, it typically indicates that the irresolvable account name is specified in a Restricted Groups policy setting.

To troubleshoot this issue, follow these steps:

Determine which service or which object is having the failure. To do so, enable debug logging for the Security Configuration client-side extension:

Start Registry Editor.

Locate and then select the following registry subkey:

On the Edit menu, select Add Value, and then add the following registry value:

• Value name: ExtensionDebugLevel
• Data type: DWORD
• Value data: 2

Exit Registry Editor.

Refresh the policy settings to reproduce the failure. To refresh the policy settings, type the following command at the command prompt, and then press ENTER:

This command creates a file that’s named Winlogon.log in the %SYSTEMROOT%\Security\Logs folder.

At the command prompt, type the following command, and then press ENTER:

The Find output identifies the problem account names, for example, Cannot find MichaelPeltier. In this example, the user account MichaelPeltier doesn’t exist in the domain. Or it has a different spelling—for example, MichellePeltier.

Determine why this account can’t be resolved. For example, look for typographical errors, a deleted account, the wrong policy applying to this computer, or a trust problem.

If you determine that the account has to be removed from the policy, find the problem policy and the problem setting. To find what setting contains the unresolved account, type the following command at the command prompt on the computer that’s producing the SCECLI 1202 event, and then press ENTER:

For this example, the syntax and the results are:

It identifies GPT00002.inf as the cached security template from the problem GPO that contains the problem setting. It also identifies the problem setting as SeInteractiveLogonRight. The display name for SeInteractiveLogonRight is Logon locally.

For a map of the constants (for example, SeInteractiveLogonRight) to their display names (for example, Logon locally), see the Windows 2000 Server Resource Kit, Distributed Systems Guide. The map is in the User Rights section of the Appendix.

Determine which GPO contains the problem setting. Search the cached security template that you identified in step 4 for the text GPOPath= . In this example, you would see:

To find the friendly name of the GPO, use the Resource Kit utility Gpotool.exe. Type the following command at the command prompt, and then press ENTER:

Search the output for the GUID you identified in step 5. The four lines that follow the GUID contain the friendly name of the policy. For example:

You have now identified the problem account, the problem setting, and the problem GPO. To resolve the problem, search the Restricted Groups section of the security policy for instances of the problem account (in this example, MichaelPeltier), and then remove or replace the problem entry.

Error code 0x5: Access denied

This error typically occurs when the system hasn’t been granted the correct permissions to update the access control list of a service. It may occur if the Administrator defines permissions for a service in a policy but doesn’t grant the System account Full Control permissions.

To troubleshoot this issue, follow these steps:

Determine which service or which object is having the failure. To do so, enable debug logging for the Security Configuration client-side extension:

Start Registry Editor.

Locate and then select the following registry subkey:

On the Edit menu, select Add Value, and then add the following registry value:

• Value name: ExtensionDebugLevel
• Data type: DWORD
• Value data: 2

Exit Registry Editor.

Refresh the policy settings to reproduce the failure. To refresh the policy settings, type the following command at the command prompt, and then press ENTER:

This command creates a file that is named Winlogon.log in the %SYSTEMROOT%\Security\Logs folder.

At the command prompt, type the following, and then press ENTER:

The Find output identifies the service with the misconfigured permissions, for example, Error opening Dnscache. Dnscache is the short name for the DNS Client service.

Find out which policy or which policies are trying to modify the service permissions. To do so, type the following command at the command prompt, and then press ENTER:

Below is a sample command and its output:

Determine which GPO contains the problem setting. Search the cached security template that you identified in step 4 for the text GPOPath= . In this example, you would see:

To find the friendly name of the GPO, use the Resource Kit utility Gpotool.exe. Type the following command at the command prompt, and then press ENTER:

Search the output for the GUID that you identified in step 5. The four lines that follow the GUID contain the friendly name of the policy. For example:

Now you have identified the service with the misconfigured permissions and the problem GPO. To resolve the problem, search the System Services section of the security policy for instances of the service with the misconfigured permissions. And then take corrective action to grant the System account Full Control permissions to the service.

Error code 0x4b8: An extended error has occurred

The 0x4b8 error is generic and can be caused by many different problems. To troubleshoot these errors, follow these steps:

Enable debug logging for the Security Configuration client-side extension:

Start Registry Editor.

Locate and then select the following registry subkey:

On the Edit menu, select Add Value, and then add the following registry value:

• Value name: ExtensionDebugLevel
• Data type: DWORD
• Value data: 2

Exit Registry Editor.

Refresh the policy settings to reproduce the failure. To refresh the policy settings, type the following command at the command prompt, and then press ENTER: