Solución de problemas de eventos de SCECLI 1202

  • Artículo

En este artículo se describen formas de solucionar problemas y resolver eventos de SCECLI 1202.

Se aplica a: Windows Server 2012 R2
Número de KB original: 324383

Resumen

El primer paso para solucionar estos eventos es identificar el código de error de Win32. Este código de error distingue el tipo de error que provoca el evento SCECLI 1202. A continuación se muestra un ejemplo de un evento SCECLI 1202. El código de error se muestra en el campo Descripción . En este ejemplo, el código de error se 0x534. El texto después del código de error es la descripción del error. Después de determinar el código de error, busque esa sección de código de error en este artículo y siga los pasos de solución de problemas de esa sección.

0x534: no se ha realizado ninguna asignación entre los nombres de cuenta y los identificadores de seguridad.

o

0x6fc: error en la relación de confianza entre el dominio principal y el dominio de confianza.

Código de error 0x534: No se ha realizado ninguna asignación entre los nombres de cuenta y los identificadores de seguridad.

Estos códigos de error significan que se produjo un error al resolver una cuenta de seguridad en un identificador de seguridad (SID). Normalmente, el error se produce porque se ha escrito mal un nombre de cuenta o porque la cuenta se eliminó después de agregarla a la configuración de la directiva de seguridad. Normalmente se produce en la sección Derechos de usuario o en la sección Grupos restringidos de la configuración de directiva de seguridad. También puede producirse si la cuenta existe en una relación de confianza y, a continuación, la relación de confianza se interrumpe.

Para resolver este problema, siga estos pasos:

  1. Determine la cuenta que está causando el error. Para ello, habilite el registro de depuración para la extensión del lado cliente configuración de seguridad:

    1. Inicie el Editor del Registro.

    2. Busque la siguiente subclave del Registro y selecciónela:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

    3. En el menú Editar , seleccione Agregar valor y agregue el siguiente valor del Registro:

      • Nombre del valor: ExtensionDebugLevel
      • Tipo de valor: DWORD
      • Datos de valor: 2

    4. Salga del Editor del Registro.

  2. Actualice la configuración de directiva para reproducir el error. Para actualizar la configuración de directiva, escriba el siguiente comando en el símbolo del sistema y, a continuación, presione ENTRAR:

    secedit /refreshpolicy machine_policy /enforce

    Este comando crea un archivo denominado Winlogon.log en la %SYSTEMROOT%\Security\Logs carpeta .

  3. Busque la cuenta del problema. Para ello, escriba el siguiente comando en el símbolo del sistema y presione ENTRAR:

    find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log

    La salida Buscar identifica los nombres de cuenta del problema, por ejemplo, No se encuentra MichaelPeltier. En este ejemplo, la cuenta de usuario MichaelPeltier no existe en el dominio. O tiene una ortografía diferente, como MichellePeltier.

    Determine por qué no se puede resolver esta cuenta. Por ejemplo, busque errores tipográficos, una cuenta eliminada, la directiva incorrecta que se aplica a este equipo o un problema de confianza.

  4. Si determina que la cuenta debe quitarse de la directiva, busque la directiva del problema y la configuración del problema. Para determinar qué configuración contiene la cuenta sin resolver, escriba el siguiente comando en el símbolo del sistema del equipo que genera el evento SCECLI 1202 y, a continuación, presione ENTRAR:

    c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*

    En este ejemplo, la sintaxis y los resultados son:

    c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*
---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelPeltier,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM

    Identifica GPT00002.inf como la plantilla de seguridad almacenada en caché del problema directiva de grupo objeto (GPO) que contiene la configuración del problema. También identifica la configuración del problema como SeInteractiveLogonRight. El nombre para mostrar de SeInteractiveLogonRight es Logon localmente.

    Para obtener un mapa de las constantes (por ejemplo, SeInteractiveLogonRight) a sus nombres para mostrar (por ejemplo, Inicio de sesión local), consulte el Kit de recursos de Microsoft Windows 2000 Server, Guía de sistemas distribuidos. El mapa se encuentra en la sección Derechos de usuario del Apéndice.

  5. Determine qué GPO contiene la configuración del problema. Busque el texto GPOPath=en la plantilla de seguridad almacenada en caché que identificó en el paso 4. En este ejemplo, verá lo siguiente:

    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

    {6AC1786C-016F-11D2-945F-00C04FB984F9} es el GUID del GPO.

  6. Para encontrar el nombre descriptivo del GPO, use la utilidad Resource Kit Gpotool.exe. Escriba el siguiente comando en el símbolo del sistema y presione ENTRAR:

    gpotool /verbose

    Busque en la salida el GUID que identificó en el paso 5. Las cuatro líneas que siguen el GUID contienen el nombre descriptivo de la directiva. Por ejemplo:

    Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Policy OK
Details:
------------------------------------------------------------
DC: domcntlr1.wingtiptoys.com
Friendly name: Default Domain Controllers Policy

Ahora ha identificado la cuenta del problema, la configuración del problema y el GPO del problema. Para resolver el problema, quite o reemplace la entrada del problema.

Código de error 0x2: el sistema no puede encontrar el archivo especificado

Este error es similar a 0x534 y a 0x6fc. Se debe a un nombre de cuenta irresolvable. Cuando se produce el error 0x2, normalmente indica que el nombre de cuenta irresolvable se especifica en una configuración de directiva de grupos restringidos.

Para resolver este problema, siga estos pasos:

  1. Determine qué servicio o qué objeto tiene el error. Para ello, habilite el registro de depuración para la extensión del lado cliente configuración de seguridad:

    1. Inicie el Editor del Registro.

    2. Busque la siguiente subclave del Registro y selecciónela:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

    3. En el menú Editar , seleccione Agregar valor y agregue el siguiente valor del Registro:

      • Nombre del valor: ExtensionDebugLevel
      • Tipo de valor: DWORD
      • Datos de valor: 2

    4. Salga del Editor del Registro.

  2. Actualice la configuración de directiva para reproducir el error. Para actualizar la configuración de directiva, escriba el siguiente comando en el símbolo del sistema y, a continuación, presione ENTRAR:

    secedit /refreshpolicy machine_policy /enforce

    Este comando crea un archivo denominado Winlogon.log en la %SYSTEMROOT%\Security\Logs carpeta .

  3. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:

    find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log

    La salida Buscar identifica los nombres de cuenta del problema, por ejemplo, No se encuentra MichaelPeltier. En este ejemplo, la cuenta de usuario MichaelPeltier no existe en el dominio. O tiene una ortografía diferente, por ejemplo, MichellePeltier.

    Determine por qué no se puede resolver esta cuenta. Por ejemplo, busque errores tipográficos, una cuenta eliminada, la directiva incorrecta que se aplica a este equipo o un problema de confianza.

  4. Si determina que la cuenta tiene que quitarse de la directiva, busque la directiva de problemas y la configuración del problema. Para buscar qué configuración contiene la cuenta sin resolver, escriba el siguiente comando en el símbolo del sistema del equipo que genera el evento SCECLI 1202 y, a continuación, presione ENTRAR:

    c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*

    En este ejemplo, la sintaxis y los resultados son:

    c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*
---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM

    Identifica GPT00002.inf como la plantilla de seguridad almacenada en caché del GPO de problema que contiene la configuración del problema. También identifica la configuración del problema como SeInteractiveLogonRight. El nombre para mostrar de SeInteractiveLogonRight es Logon localmente.

    Para obtener un mapa de las constantes (por ejemplo, SeInteractiveLogonRight) a sus nombres para mostrar (por ejemplo, Inicio de sesión local), consulte el Kit de recursos de Windows 2000 Server, Guía de sistemas distribuidos. El mapa se encuentra en la sección Derechos de usuario del Apéndice.

  5. Determine qué GPO contiene la configuración del problema. Busque el texto GPOPath=en la plantilla de seguridad almacenada en caché que identificó en el paso 4. En este ejemplo, verá lo siguiente:

    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

    {6AC1786C-016F-11D2-945F-00C04FB984F9} es el GUID del GPO.

  6. Para encontrar el nombre descriptivo del GPO, use la utilidad Resource Kit Gpotool.exe. Escriba el siguiente comando en el símbolo del sistema y presione ENTRAR:

    gpotool /verbose

    Busque en la salida el GUID que identificó en el paso 5. Las cuatro líneas que siguen el GUID contienen el nombre descriptivo de la directiva. Por ejemplo:

    Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Policy OK
Details:
------------------------------------------------------------
DC: domcntlr1.wingtiptoys.com
Friendly name: Default Domain Controllers Policy

Ahora ha identificado la cuenta del problema, la configuración del problema y el GPO del problema. Para resolver el problema, busque en la sección Grupos restringidos de la directiva de seguridad instancias de la cuenta de problema (en este ejemplo, MichaelPeltier) y, a continuación, quite o reemplace la entrada del problema.

Código de error 0x5: Acceso denegado

Este error suele producirse cuando al sistema no se le han concedido los permisos correctos para actualizar la lista de control de acceso de un servicio. Puede producirse si el administrador define permisos para un servicio en una directiva, pero no concede permisos de control total a la cuenta del sistema.

Para resolver este problema, siga estos pasos:

  1. Determine qué servicio o qué objeto tiene el error. Para ello, habilite el registro de depuración para la extensión del lado cliente configuración de seguridad:

    1. Inicie el Editor del Registro.

    2. Busque la siguiente subclave del Registro y selecciónela:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

    3. En el menú Editar , seleccione Agregar valor y agregue el siguiente valor del Registro:

      • Nombre del valor: ExtensionDebugLevel
      • Tipo de valor: DWORD
      • Datos de valor: 2

    4. Salga del Editor del Registro.

  2. Actualice la configuración de directiva para reproducir el error. Para actualizar la configuración de directiva, escriba el siguiente comando en el símbolo del sistema y, a continuación, presione ENTRAR:

    secedit /refreshpolicy machine_policy /enforce

    Este comando crea un archivo denominado Winlogon.log en la %SYSTEMROOT%\Security\Logs carpeta .

  3. En el símbolo del sistema, escriba lo siguiente y presione ENTRAR:

    find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.log

    La salida Buscar identifica el servicio con los permisos mal configurados, por ejemplo, Error al abrir Dnscache. Dnscache es el nombre corto del servicio cliente DNS.

  4. Averigüe qué directiva o qué directivas están intentando modificar los permisos del servicio. Para ello, escriba el siguiente comando en el símbolo del sistema y presione ENTRAR:

    find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*".

    A continuación se muestra un comando de ejemplo y su salida:

    d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.*

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)"

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM

  5. Determine qué GPO contiene la configuración del problema. Busque el texto GPOPath=en la plantilla de seguridad almacenada en caché que identificó en el paso 4. En este ejemplo, verá lo siguiente:

    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

    {6AC1786C-016F-11D2-945F-00C04FB984F9} es el GUID del GPO.

  6. Para encontrar el nombre descriptivo del GPO, use la utilidad Resource Kit Gpotool.exe. Escriba el siguiente comando en el símbolo del sistema y presione ENTRAR:

    gpotool /verbose

    Busque en la salida el GUID que identificó en el paso 5. Las cuatro líneas que siguen el GUID contienen el nombre descriptivo de la directiva. Por ejemplo:

    Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Policy OK
Details:
------------------------------------------------------------
DC: domcntlr1.wingtiptoys.com
Friendly name: Default Domain Controllers Policy

Ahora ha identificado el servicio con los permisos mal configurados y el GPO del problema. Para resolver el problema, busque en la sección Servicios del sistema de la directiva de seguridad instancias del servicio con los permisos mal configurados. A continuación, realice una acción correctiva para conceder permisos de Control total de la cuenta del sistema al servicio.

Código de error 0x4b8: Se ha producido un error extendido

El error de 0x4b8 es genérico y puede deberse a muchos problemas diferentes. Para solucionar estos errores, siga estos pasos:

  1. Habilite el registro de depuración para la extensión del lado cliente configuración de seguridad:

    1. Inicie el Editor del Registro.

    2. Busque la siguiente subclave del Registro y selecciónela:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

    3. En el menú Editar , seleccione Agregar valor y agregue el siguiente valor del Registro:

      • Nombre del valor: ExtensionDebugLevel
      • Tipo de valor: DWORD
      • Datos de valor: 2

    4. Salga del Editor del Registro.

  2. Actualice la configuración de directiva para reproducir el error. Para actualizar la configuración de directiva, escriba el siguiente comando en el símbolo del sistema y, a continuación, presione ENTRAR:

    secedit /refreshpolicy machine_policy /enforce

    Este comando crea un archivo denominado Winlogon.log en la %SYSTEMROOT%\Security\Logs carpeta .

  3. Consulte Los identificadores de evento 1000, 1202, 412 y 454 de ESENT se registran repetidamente en el registro de aplicaciones. En este artículo se describen los problemas conocidos que provocan el error de 0x4b8.

Recolección de datos

Si necesita ayuda del soporte técnico de Microsoft, le recomendamos que recopile la información siguiendo los pasos mencionados en Recopilación de información mediante TSS para problemas de directiva de grupo.