Solucionando problemas relacionados aos eventos SCECLI 1202

Traduções deste artigo Traduções deste artigo
ID do artigo: 324383 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo descreve maneiras de solucionar problemas relacionados aos eventos SCECLI 1202.

Mais Informações

A primeira etapa na solução desses eventos é identificar o código de erro Win32. Esse código de erro distingui o tipo de erro que causa o evento SCECLI 1202. Abaixo, segue um exemplo de um evento SCECLI 1202. O código de erro é mostrado no campo Descrição. Nesse exemplo, o código de erro é 0x534. O texto após o código de erro é a descrição do erro.

Tipo de evento: Aviso
Origem do evento: SceCli
Categoria do evento: Nenhum
ID do Evento: 1202
Data: DD/MM/AAAA
Hora: HH:MM:SS
Usuário: N/D
Computador: %NomeDoComputador%
Descrição: As diretivas de segurança são propagadas com advertência. 0x534 Nenhum mapeamento foi feito entre os nomes das contas e as Identificações de segurança. Procure por detalhes adicionais na seção de Solução de Problemas na Ajuda de Segurança.

Após determinar o código de erro, localize o código neste artigo e siga as etapas contidas nessa seção para solucionar o problema.

0x534: Nenhum mapeamento foi feito entre os nomes das contas e as Identificações de segurança.
-ou-
0x6fc: A relação de confiança entre o domínio primário e o domínio confiável falhou.

Esses códigos de erro significam que houve uma falha ao retornar uma conta de segurança para um identificador de segurança (SID-security identifier). Isso normalmente ocorre se o nome da conta foi digitado incorretamente ou se a conta foi excluída após ser adicionada à configuração da diretiva de segurança. Isso normalmente ocorre na seção Direitos do usuário ou na seção Grupos restritos da configuração da diretiva de segurança. Isso também pode ocorrer se a conta existir em uma relação de confiança e essa relação for quebrada.

Para solucionar esse problema, execute essas etapas:
  1. Determine a conta que está causando a falha. Para fazer isso, ative o log de depuração para a extensão do lado do cliente da Configuração de Segurança. Para fazer isso:
    1. Inicie o Editor do Registro.
    2. Localize e clique na seguinte subchave do Registro:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
    3. No menu Editar, clique em Adicionar valor e adicione o seguinte valor do Registro:
      Nome do Valor: ExtensionDebugLevel
      Tipo de dados: DWORD
      Dados do valor: 2
    4. Feche o Editor do Registro.
  2. Atualize as configurações da diretiva para reproduzir a falha. Para atualizar as configurações da diretiva, digite o seguinte no prompt de comando e pressione ENTER:
    secedit /refreshpolicy machine_policy /enforce
    Isso cria um arquivo chamado Winlogon.log na pasta %SYSTEMROOT%\Security\Logs.
  3. Localize a conta com problema. Para fazer isso, digite o seguinte no prompt de comando e pressione ENTER:
    find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
    A opção Localizar (Find) identifica os nomes das contas com problema, por exemplo, "Não é possível localizar MichaelAlexander." Nesse exemplo, o usuário da conta MichaelAlexander não existe no domínio ou possui uma ortografia diferente, por exemplo, MichelleAlexander.

    Determine porque essa conta não recebe retorno. Por exemplo, procure por erros de digitação, uma conta excluída, a diretiva errada sendo aplicada a esse computador ou um problema de confiança.
  4. Se você determinar que a conta deve ser removida da diretiva, localize a diretiva com problema e a configuração com problema. Para determinar qual configuração contém a conta não-resolvida, digite o seguinte no prompt de comando do computador que esteja produzindo o evento SCECLI 1202 e pressione ENTER:
    c:\>find /i ?nome da conta? %SYSTEMROOT%\security\templates\policies\gpt*.*
    Para esse exemplo, a sintaxe e os resultados são: ]
    c:\>find /i "MichaelAlexander" %SYSTEMROOT%\security\templates\policies\gpt*.* 
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelAlexander,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
    Isso identifica o GPT00002.inf como o modelo de segurança em cache do Objeto de Diretiva de Grupo com problema (GPO) que contém a configuração problemática. Também identifica a configuração com problema como SeInteractiveLogonRight. O nome para exibição do SeInteractiveLogonRight é ?Fazer logon local.?

    Para uma mapeamento das constantes (por exemplo, SeInteractiveLogonRight) e seus nomes para exibição (por exemplo, Fazer logon local), consulte o Microsoft Windows 2000 Server Resource Kit, "Distributed Systems Guide." O mapa está na seção "Direitos do usuário" do Apêndice.
  5. Determine qual GPO contém a configuração com problema. Localize o modelo de segurança em cache que você identificou na etapa 4, para o texto "GPOPath=." Nesse exemplo, você deverá ver o seguinte:
    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
    Entre "GPOPath=" e "\MACHINE" está o GUID para o GPO.
  6. Para encontrar o nome amigável do GPO, use o utilitário do Resource Kit, Gpotool.exe. Digite o seguinte no prompt de comando e pressione ENTER:
    gpotool /verbose
    Procure pelo resultado para o GUID que você identificou na etapa 5. As quatro linhas seguintes ao GUID contêm o nome amigável da diretiva. Por exemplo:
    Diretiva {6AC1786C-016F-11D2-945F-00C04FB984F9} Diretiva OK, Detalhes: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Nome amigável: Diretiva padrão de controladores de domínio
Você identificou a conta com problema, a configuração com problema e o GPO com problema. Para resolver o problema, remova ou substitua a entrada problemática.

0x2: O sistema não pôde localizar o arquivo especificado.

Esse erro é semelhante ao 0x534 e ao 0x6fc já que é causado por um nome de conta que não recebe retorno. Quando o erro 0x2 ocorre, ele normalmente indica que o nome de conta que não recebe retorno está especificado em uma configuração de diretiva de Grupos restritos.

Para solucionar esse problema, execute essas etapas:
  1. Determine qual serviço ou objeto está apresentando a falha. Para fazer isso, ative o log de depuração para a extensão do lado do cliente da Configuração de Segurança. Para fazer isso:
    1. Inicie o Editor do Registro.
    2. Localize e clique na seguinte subchave do Registro:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
    3. No menu Editar, clique em Adicionar valor e adicione o seguinte valor do Registro:
      Nome do Valor: ExtensionDebugLevel
      Tipo de dados: DWORD
      Dados do valor: 2
    4. Feche o Editor do Registro.
  2. Atualize as configurações da diretiva para reproduzir a falha. Para atualizar as configurações da diretiva, digite o seguinte no prompt de comando e pressione ENTER:
    secedit /refreshpolicy machine_policy /enforce
    Isso cria um arquivo chamado Winlogon.log na pasta %SYSTEMROOT%\Security\Logs.
  3. No prompt de comando, digite o seguinte e pressione ENTER:
    find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
    A opção Localizar (Find) identifica os nomes das contas com problema, por exemplo, "Não é possível localizar MichaelAlexander." Nesse exemplo, o usuário da conta MichaelAlexander não existe no domínio ou possui uma ortografia diferente, por exemplo, MichelleAlexander.

    Determine porque essa conta não recebe retorno. Por exemplo, procure por erros de digitação, uma conta excluída, a diretiva errada sendo aplicada a esse computador ou um problema de confiança.
  4. Se você determinar que a conta deve ser removida da diretiva, localize a diretiva com problema e a configuração com problema. Para localizar qual configuração contém a conta que não recebe retorno, digite o seguinte no prompt de comando do computador que esteja produzindo o evento SCECLI 1202 e pressione ENTER:
    c:\>find /i ?nome da conta? %SYSTEMROOT%\security\templates\policies\gpt*.*
    Para esse exemplo, a sintaxe e os resultados são:
    c:\>find /i "MichaelAlexander" %SYSTEMROOT%\security\templates\policies\gpt*.* 
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
    Isso identifica o GPT00002.inf como o modelo de segurança em cache do GPO com problema que contém a configuração com problema. Também identifica a configuração com problema como SeInteractiveLogonRight. O nome para exibição do SeInteractiveLogonRight é ?Fazer logon local.?

    Para uma mapeamento das constantes (por exemplo, SeInteractiveLogonRight) e seus nomes para exibição (por exemplo, Fazer logon local), consulte o Microsoft Windows 2000 Server Resource Kit, "Distributed Systems Guide." O mapa está na seção "Direitos do usuário" do Apêndice.
  5. Determine qual GPO contém a configuração com problema. Localize o modelo de segurança em cache que você identificou na etapa 4, para o texto "GPOPath=." Nesse exemplo, você deverá ver o seguinte:
    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
    Entre "GPOPath=" e "\MACHINE" está o GUID para o GPO.
  6. Para encontrar o nome amigável do GPO, use o utilitário do Resource Kit, Gpotool.exe. Digite o seguinte no prompt de comando e pressione ENTER:
    gpotool /verbose
    Procure pela opção para o GUID que você identificou na etapa 5. As quatro linhas seguintes ao GUID contêm o nome amigável da diretiva. Por exemplo:
    Diretiva {6AC1786C-016F-11D2-945F-00C04FB984F9} Diretiva OK, Detalhes: 
    ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com 
    Nome amigável: Diretiva padrão de controladores de domínio

Você identificou a conta com problema, a configuração com problema e o GPO com problema. Para solucionar o problema, pesquise na seção Grupos restritos da diretiva de segurança por ocorrências da conta com problema (nesse exemplo, "MichaelAlexander"), e remova ou substitua a entrada com problema.

0x5: Acesso negado.

Esse erro normalmente ocorre quando as permissões corretas não foram fornecidas ao sistema para que atualize a lista de controle de acesso de um serviço. Isso pode ocorrer se o Administrador define as permissões para um serviço em uma diretiva, mas não fornece ao Sistema permissões de controle total sobre a conta.

Para solucionar esse problema, execute essas etapas:
  1. Determine qual serviço ou objeto está apresentando a falha. Para fazer isso, ative o log de depuração para a extensão do lado do cliente da Configuração de Segurança. Para fazer isso:
    1. Inicie o Editor do Registro.
    2. Localize e clique na seguinte subchave do Registro:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
    3. No menu Editar, clique em Adicionar valor e adicione o seguinte valor do Registro:
      Nome do Valor: ExtensionDebugLevel
      Tipo de dados: DWORD
      Dados do valor: 2
    4. Feche o Editor do Registro.
  2. Atualize as configurações da diretiva para reproduzir a falha. Para atualizar as configurações da diretiva, digite o seguinte no prompt de comando e pressione ENTER:
    secedit /refreshpolicy machine_policy /enforce
    Isso cria um arquivo chamado Winlogon.log na pasta %SYSTEMROOT%\Security\Logs.
  3. No prompt de comando, digite o seguinte e pressione ENTER:
    find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.log
    A opção Localizar (Find) identifica o serviço que possui erro de configuração de permissões, por exemplo, "Error opening Dnscache." Dnscache é o nome curto para serviço DNS Client.
  4. Descubra qual diretiva ou quais diretivas estão tentando modificar as permissões de serviço. Para fazer isso, digite o seguinte no prompt de comando e pressione ENTER:
    find /i "serviço" %SYSTEMROOT%\security\templates\policies\gpt*.*".
    A seguir está um exemplo de comando e seu resultado:
    d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.*
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)"
    
    ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
  5. Determine qual GPO contém a configuração com problema. Localize o modelo de segurança em cache que você identificou na etapa 4, para o texto "GPOPath=." Nesse exemplo, você deverá ver o seguinte:
    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
    Entre "GPOPath=" e "\MACHINE" está o GUID para o GPO.
  6. Para encontrar o nome amigável do GPO, use o utilitário do Resource Kit, Gpotool.exe. Digite o seguinte no prompt de comando e pressione ENTER:
    gpotool /verbose
    Procure pelo resultado para o GUID que você identificou na etapa 5. As quatro linhas seguintes ao GUID contêm o nome amigável da diretiva. Por exemplo:
    Diretiva {6AC1786C-016F-11D2-945F-00C04FB984F9} Diretiva OK, Detalhes: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Nome amigável: Diretiva padrão de controladores de domínio
Você identificou o serviço com erros de configuração de permissões e o GPO com problema. Para resolver esse problema, pesquise na seção Serviços do sistema da diretiva de segurança em busca de ocorrências do serviço com erros de configuração de permissões e tome ações necessárias para a correção, de modo a fornecer ao Sistema permissões de controle total sobre a conta para o serviço.

0x4b8: Um erro estendido ocorreu.

O erro 0x4b8 é genérico e pode ser causado por diversos problemas diferentes. Para solucionar esses problemas, execute as seguintes etapas:
  1. Ative o log de depuração para a extensão do lado do cliente da Configuração de Segurança. Para fazer isso:
    1. Inicie o Editor do Registro.
    2. Localize e clique na seguinte subchave do Registro:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
    3. No menu Editar, clique em Adicionar valor e adicione o seguinte valor do Registro:
      Nome do Valor: ExtensionDebugLevel
      Tipo de dados: DWORD
      Dados do valor: 2
    4. Feche o Editor do Registro.
  2. Atualize as configurações da diretiva para reproduzir a falha. Para atualizar as configurações da diretiva, digite o seguinte no prompt de comando e pressione ENTER:
    secedit /refreshpolicy machine_policy /enforce
    Isso cria um arquivo chamado Winlogon.log na pasta %SYSTEMROOT%\Security\Logs.
  3. Consulte os seguintes artigos na Base de Dados de Conhecimento da Microsoft. Esses artigos descrevem problemas conhecidos que causam o erro 0x4b8. Clique nos números dos artigos a seguir para exibi-los na Base de Dados de Conhecimento da Microsoft:
    260715 ID do Evento 1000 e 1202 após a configuração das diretivas
    278316 Eventos ID 1000, 1202, 412 e 454 de ESENT São Registrados Repetidamente no Log de Eventos de Aplicação

Propriedades

ID do artigo: 324383 - Última revisão: quinta-feira, 13 de abril de 2006 - Revisão: 2.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Palavras-chave: 
kbqfe kbhotfixserver kbhowto KB324383

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com