Risoluzione degli eventi SCECLI 1202

Traduzione articoli Traduzione articoli
Identificativo articolo: 324383 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo viene descritto come risolvere gli eventi SCECLI 1202.

Informazioni

La prima misura da adottare per tentare di risolvere questi eventi Ŕ identificare il codice di errore Win32, che indica il tipo di errore che causa l'evento SCECLI 1202. Di seguito Ŕ riportato un esempio di evento SCECLI 1202. Il codice di errore Ŕ contenuto nel campo Descrizione e in questo esempio Ŕ il codice 0x534. Il testo riportato dopo il codice di errore Ŕ la descrizione dell'errore.

Tipo evento: Avviso
Origine evento: SceCli
Categoria evento: Nessuna
ID evento: 1202
Data: GG/MM/AAAA
Ora: HH.MM.SS
Utente: N/D
Computer: %NomeComputer%
Descrizione: criteri di protezione propagati con avviso. 0x534: Non Ŕ stato effettuato alcun mapping tra nomi di account e ID di protezione. Per ulteriori informazioni vedere la sezione della Guida in linea relativa alla risoluzione dei problemi di protezione.

Una volta determinato il codice di errore, trovare la sezione di questo articolo dedicata a tale codice e seguire la procedura di risoluzione dei problemi ivi illustrata.

0x534: Non Ŕ stato effettuato alcun mapping tra nomi di account e ID di protezione.
Oppure
0x6fc: La relazione di trust tra il dominio primario e il dominio trusted non Ŕ riuscita.

Questi codici di errore indicano che si Ŕ verificato un errore durante il tentativo di risolvere un account di protezione in un identificatore di protezione (SID). Ci˛ si verifica solitamente perchÚ non Ŕ stato digitato correttamente un nome account oppure perchÚ l'account Ŕ stato eliminato una volta aggiunto all'impostazione del criterio di protezione, il che avviene solitamente nella sezione Diritti utente o nella sezione Gruppi con restrizioni dell'impostazione del criterio di protezione. Ma pu˛ anche verificarsi se l'account riguarda una relazione di trust e questa viene interrotta.

Per risolvere il problema, attenersi alla seguente procedura:
  1. Determinare l'account che causa l'errore. A tale scopo, abilitare la registrazione di debug per l'estensione del lato client di Configurazione della protezione. Per effettuare questa operazione:
    1. Avviare l'editor del Registro di sistema.
    2. Individuare e selezionare la seguente sottochiave:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
    3. Scegliere Aggiungi valore dal menu Modifica e aggiungere il seguente valore di registro:
      Nome valore: ExtensionDebugLevel
      Tipo di dati: DWORD
      Dati valore: 2
    4. Chiudere l'editor del Registro di sistema.
  2. Aggiornare le impostazioni del criterio al fine di riprodurre l'errore. A tale scopo, al prompt dei comandi digitare il comando riportato di seguito, quindi premere INVIO:
    secedit /refreshpolicy machine_policy /enforce
    VerrÓ creato un file denominato Winlogon.log nella cartella %SYSTEMROOT%\Security\Logs.
  3. Trovare l'account che causa il problema. Per fare questo, digitare quanto riportato di seguito al prompt dei comandi, quindi premere INVIO:
    find /i "impossibile trovare" %SYSTEMROOT%\security\logs\winlogon.log
    L'output del comando Find identifica i nomi di account che causano il problema, ad esempio "Impossibile trovare MichaelAlexander". In questo esempio, l'account utente MichaelAlexander non esiste nel dominio oppure Ŕ scritto in maniera diversa, ad esempio MichelleAlexander.

    Determinare perchÚ non Ŕ stato possibile risolvere l'account, ad esempio cercare eventuali errori di ortografia, verificare che l'account non sia stato eliminato, che non sia stato applicato un criterio errato al computer o cercare eventuali problemi con un trust.
  4. Se si determina che l'account deve essere rimosso dal criterio, trovare il criterio e l'impostazione che causano il problema. Per determinare l'impostazione che contiene l'account non risolto, digitare quanto riportato di seguito al prompt dei comandi del computer in cui Ŕ stato registrato l'evento SCECLI 1202, quindi premere INVIO:
    c:\>find /i ?nome account? %SYSTEMROOT%\security\templates\policies\gpt*.*
    La sintassi e i risultati dell'esempio utilizzato in questo articolo sono:
    c:\>find /i "MichaelAlexander" %SYSTEMROOT%\security\templates\policies\gpt*.*
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
     SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelAlexander,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
    Questo output identifica GPT00002.inf come il modello di protezione memorizzato nella cache da parte dell'oggetto Criteri di gruppo (GPO) che contiene l'impostazione che causa il problema, ovvero SeInteractiveLogonRight. Il nome visualizzato di SeInteractiveLogonRight Ŕ ?Logon locally.?

    Una mappa delle costanti (ad esempio, SeInteractiveLogonRight) e dei relativi nomi (ad esempio, Logon locally) Ŕ disponibile nel documento "Distributed Systems Guide" del Resource Kit di Microsoft Windows 2000 Server. La mappa Ŕ contenuta nella sezione "User Rights" dell'appendice.
  5. Determinare l'oggetto Criteri di gruppo contenente l'impostazione che causa il problema. Nel modello di protezione memorizzato nella cache, identificato al passaggio 4, cercare il testo "GPOPath=." Nell'esempio in questione, tale testo dovrebbe avere il seguente aspetto:
    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
    Tra "GPOPath=" e "\MACHINE" Ŕ riportato il GUID dell'oggetto Criteri di gruppo.
  6. Per trovare il nome descrittivo dell'oggetto Criteri di gruppo, utilizzare l'utilitÓ Gpotool.exe contenuta nel Resource Kit. Digitare al prompt dei comandi quanto riportato di seguito, quindi premere INVIO:
    gpotool /verbose
    Cercare l'output relativo al GUID identificato al passaggio 5. Il nome descrittivo del criterio Ŕ contenuto nelle quattro righe che seguono il GUID. Ad esempio:
    Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
    Policy OK
    Details:
    ------------------------------------------------------------
    DC: domcntlr1.wingtiptoys.com
    Friendly name: Criterio controller di dominio predefiniti
    
A questo punto sono stati identificati l'account, l'impostazione e l'oggetto Criteri di gruppo che causano il problema. Per risolvere il problema, rimuovere o sostituire la voce che causa il problema.

0x2: Impossibile trovare il file specificato.

Questo errore Ŕ simile agli errori 0x534 e 0x6fc nel senso che Ŕ causato da un nome di account impossibile da risolvere. Quando si verifica un errore 0x2, viene indicato solitamente che il nome di account non risolvibile Ŕ specificato nell'impostazione di un criterio Gruppi con restrizioni.

Per risolvere il problema, attenersi alla seguente procedura:
  1. Determinare il servizio o l'oggetto in cui si verifica l'errore. A tale scopo, abilitare la registrazione di debug per l'estensione del lato client di Configurazione della protezione. Per effettuare questa operazione:
    1. Avviare l'editor del Registro di sistema.
    2. Individuare e selezionare la seguente sottochiave:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
    3. Scegliere Aggiungi valore dal menu Modifica e aggiungere il seguente valore di registro:
      Nome valore: ExtensionDebugLevel
      Tipo di dati: DWORD
      Dati valore: 2
    4. Chiudere l'editor del Registro di sistema.
  2. Aggiornare le impostazioni del criterio al fine di riprodurre l'errore. A tale scopo, al prompt dei comandi digitare il comando riportato di seguito, quindi premere INVIO:
    secedit /refreshpolicy machine_policy /enforce
    VerrÓ creato un file denominato Winlogon.log nella cartella %SYSTEMROOT%\Security\Logs.
  3. Al prompt dei comandi digitare quanto segue, quindi premere INVIO:
    find /i "impossibile trovare" %SYSTEMROOT%\security\logs\winlogon.log
    L'output del comando Find identifica i nomi di account che causano il problema, ad esempio "Impossibile trovare MichaelAlexander". In questo esempio, l'account utente MichaelAlexander non esiste nel dominio oppure Ŕ scritto in maniera diversa, ad esempio MichelleAlexander.

    Determinare perchÚ non Ŕ stato possibile risolvere l'account, ad esempio cercare eventuali errori di ortografia, verificare che l'account non sia stato eliminato, che non sia stato applicato un criterio errato al computer o cercare eventuali problemi con un trust.
  4. Se si determina che l'account deve essere rimosso dal criterio, trovare il criterio e l'impostazione che causano il problema. Per determinare l'impostazione che contiene l'account non risolto, digitare quanto riportato di seguito al prompt dei comandi del computer in cui Ŕ stato registrato l'evento SCECLI 1202, quindi premere INVIO:
    c:\>find /i ?nome account? %SYSTEMROOT%\security\templates\policies\gpt*.*
    La sintassi e i risultati dell'esempio utilizzato in questo articolo sono:
    c:\>find /i "MichaelAlexander" %SYSTEMROOT%\security\templates\policies\gpt*.*
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
    SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
    Questo output identifica GPT00002.inf come il modello di protezione memorizzato nella cache da parte dell'oggetto Criteri di gruppo (GPO) che contiene l'impostazione che causa il problema, ovvero SeInteractiveLogonRight. Il nome visualizzato di SeInteractiveLogonRight Ŕ ?Logon locally.?

    Una mappa delle costanti (ad esempio, SeInteractiveLogonRight) e dei relativi nomi (ad esempio, Logon locally) Ŕ disponibile nel documento "Distributed Systems Guide" del Resource Kit di Microsoft Windows 2000 Server. La mappa Ŕ contenuta nella sezione "User Rights" dell'appendice.
  5. Determinare l'oggetto Criteri di gruppo contenente l'impostazione che causa il problema. Nel modello di protezione memorizzato nella cache, identificato al passaggio 4, cercare il testo "GPOPath=." Nell'esempio in questione, tale testo dovrebbe avere il seguente aspetto:
    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
    Tra "GPOPath=" e "\MACHINE" Ŕ riportato il GUID dell'oggetto Criteri di gruppo.
  6. Per trovare il nome descrittivo dell'oggetto Criteri di gruppo, utilizzare l'utilitÓ Gpotool.exe contenuta nel Resource Kit. Digitare al prompt dei comandi quanto riportato di seguito, quindi premere INVIO:
    gpotool /verbose
    Cercare l'output relativo al GUID identificato al passaggio 5. Il nome descrittivo del criterio Ŕ riportato nelle quattro righe che seguono il GUID. Ad esempio:
    Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
    Policy OK
    Details:
    ------------------------------------------------------------
    DC: domcntlr1.wingtiptoys.com
    Friendly name: Criterio controller di dominio predefiniti
    

A questo punto sono stati identificati l'account, l'impostazione e l'oggetto Criteri di gruppo che causano il problema. Per risolvere il problema, nella sezione Gruppi con restrizioni del criterio di protezione cercare istanze dell'account che causa il problema, nell'esempio in questione "MichaelAlexander", quindi rimuovere o sostituire la voce che causa il problema.

0x5: Accesso negato.

Questo errore si verifica solitamente quando al sistema non sono state assegnate le autorizzazioni corrette per aggiornare l'elenco di controllo di accesso di un servizio. Ci˛ pu˛ verificarsi se l'amministratore definisce autorizzazioni per un servizio all'interno di un criterio senza tuttavia concedere autorizzazioni di controllo completo all'account di sistema.

Per risolvere il problema, attenersi alla seguente procedura:
  1. Determinare il servizio o l'oggetto in cui si verifica l'errore. A tale scopo, abilitare la registrazione di debug per l'estensione del lato client di Configurazione della protezione. Per effettuare questa operazione:
    1. Avviare l'editor del Registro di sistema.
    2. Individuare e selezionare la seguente sottochiave:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
    3. Scegliere Aggiungi valore dal menu Modifica e aggiungere il seguente valore di registro:
      Nome valore: ExtensionDebugLevel
      Tipo di dati: DWORD
      Dati valore: 2
    4. Chiudere l'editor del Registro di sistema.
  2. Aggiornare le impostazioni del criterio al fine di riprodurre l'errore. A tale scopo, al prompt dei comandi digitare il comando riportato di seguito, quindi premere INVIO:
    secedit /refreshpolicy machine_policy /enforce
    VerrÓ creato un file denominato Winlogon.log nella cartella %SYSTEMROOT%\Security\Logs.
  3. Al prompt dei comandi digitare quanto segue, quindi premere INVIO:
    find /i "errore durante l'apertura" %SYSTEMROOT%\security\logs\winlogon.log
    L'output del comando Find identifica il servizio che presenta autorizzazioni non configurate correttamente, ad esempio "Errore durante l'apertura di Dnscache". Dnscache Ŕ il nome breve del servizio Client DNS.
  4. Trovare il criterio o i criteri che cercano di modificare le autorizzazioni del servizio. Per fare questo, digitare quanto riportato di seguito al prompt dei comandi, quindi premere INVIO:
    find /i "servizio" %SYSTEMROOT%\security\templates\policies\gpt*.*".
    Di seguito Ŕ riportato un comando di esempio e il relativo output:
    d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.*
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
    Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)"
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
    
  5. Determinare l'oggetto Criteri di gruppo contenente l'impostazione che causa il problema. Nel modello di protezione memorizzato nella cache, identificato al passaggio 4, cercare il testo "GPOPath=." Nell'esempio in questione, tale testo dovrebbe avere il seguente aspetto:
    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
    Tra "GPOPath=" e "\MACHINE" Ŕ riportato il GUID dell'oggetto Criteri di gruppo.
  6. Per trovare il nome descrittivo dell'oggetto Criteri di gruppo, utilizzare l'utilitÓ Gpotool.exe contenuta nel Resource Kit. Digitare al prompt dei comandi quanto riportato di seguito, quindi premere INVIO:
    gpotool /verbose
    Cercare l'output relativo al GUID identificato al passaggio 5. Il nome descrittivo del criterio Ŕ riportato nelle quattro righe che seguono il GUID. Ad esempio:
    Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
    Policy OK
    Details:
    ------------------------------------------------------------
    DC: domcntlr1.wingtiptoys.com
    Friendly name: Criterio controller di dominio predefiniti
    
A questo punto Ŕ stato identificato il servizio che presenta autorizzazioni configurate non correttamente e l'oggetto Criteri di gruppo che causa il problema. Per risolvere il problema, nella sezione Servizi di sistema del criterio di protezione cercare istanze del servizio che presenta autorizzazioni non configurate correttamente, quindi provvedere a concedere all'account di servizio autorizzazioni di controllo completo per il servizio.

0x4b8: si Ŕ verificato un errore esteso.

L'errore 0x4b8 Ŕ un errore generico e pu˛ essere causato da problemi diversi. Per risolvere questo tipo di errori, attenersi alla seguente procedura:
  1. Abilitare la registrazione di debug per l'estensione del lato client di Configurazione della protezione. Per effettuare questa operazione:
    1. Avviare l'editor del Registro di sistema.
    2. Individuare e selezionare la seguente sottochiave:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
    3. Scegliere Aggiungi valore dal menu Modifica e aggiungere il seguente valore di registro:
      Nome valore: ExtensionDebugLevel
      Tipo di dati: DWORD
      Dati valore: 2
    4. Chiudere l'editor del Registro di sistema.
  2. Aggiornare le impostazioni del criterio al fine di riprodurre l'errore. A tale scopo, al prompt dei comandi digitare il comando riportato di seguito, quindi premere INVIO:
    secedit /refreshpolicy machine_policy /enforce
    VerrÓ creato un file denominato Winlogon.log nella cartella %SYSTEMROOT%\Security\Logs.
  3. Vedere i seguenti articoli della Microsoft Knowledge Base, in cui sono descritti i problemi noti che causano l'errore 0x4b8. Fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito per visualizzarli (il contenuto potrebbe essere in inglese):
    260715 Visualizzazione degli ID evento 1000 e 1202 dopo la configurazione di criteri
    278316 Gli ID evento ESENT 1000, 1202, 412 e 454 vengono registrati ripetutamente nel registro eventi applicazioni

ProprietÓ

Identificativo articolo: 324383 - Ultima modifica: venerdý 31 marzo 2006 - Revisione: 1.2
Le informazioni in questo articolo si applicano a
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Chiavi:á
kbqfe kbhotfixserver kbhowto KB324383
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com