Устранение неполадок, которые приводят к регистрации событий с кодом 1202 (SCECLI)

Статья содержит описание процесса устранения неполадок, которые приводят к регистрации событий с кодом 1202 (SCECLI).

В первую очередь следует определить код ошибки Win32. Этот код указывает на тип ошибки, которая вызвала регистрацию события с кодом 1202 (SCECLI). Ниже приведен пример события SCECLI с кодом 1202. Код ошибки указан в поле «Описание» (в данном примере — 0x534). После кода следует описание ошибки.

Тип события: Предупреждение
Источник события: SceCli
Категория события: Нет
Код события: 1202
Дата: ДД/ММ/ГГГГ
Время: ЧЧ:ММ:СС
Пользователь: нет данных
Компьютер: %имя_компьютера%
Описание: Выполнено распространение политики безопасности с предупреждением. 0x534: Именам пользователей не сопоставлены коды защиты данных. Дополнительные сведения содержатся в разделе «Устранение неполадок» справки по безопасности.

После определения кода ошибки необходимо выполнить инструкции соответствующего раздела данной статьи.

0x534: Именам пользователей не сопоставлены коды защиты данных.
или
0x6fc: Установка отношений доверенности между основным доменом и доменом-доверителем не состоялась.

Наличие ошибки с таким кодом свидетельствует о неудачной попытке разрешить учетную запись безопасности в идентификатор защиты (SID). Как правило, такое поведение наблюдается в случае неправильного ввода имени учетной записи, а также если учетная запись была удалена после добавления в параметр политики безопасности. Обычно это происходит в разделе Права пользователей или Группы с ограниченным доступом параметра политики безопасности. Кроме того, ошибка с таким кодом возникает, если учетная запись использовалась по доверительному отношению, а затем это отношение было разорвано.

Для решения проблемы необходимо выполнить следующие действия.

1. Определите учетную запись, которая вызывает возникновение ошибки. Для этого следует включить регистрацию в журнале отладки для клиентского расширения Security Configuration.
   1. Запустите редактор реестра.
   2. Найдите следующий раздел:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
   3. В меню Правка выберите команду Создать параметр для создания параметра со следующими характеристиками.
      Название параметра: ExtensionDebugLevel
      Тип данных: DWORD
      Значение: 2
   4. Закройте редактор реестра.
2. Чтобы воспроизвести ошибку, обновите параметры политики. Для обновления параметров политики введите следующую команду и нажмите клавишу ВВОД:
   secedit /refreshpolicy machine_policy /enforce
   В папкe %SYSTEMROOT%\Security\Logs будет создан файл Winlogon.log.
3. Для определения искомой учетной записи введите следующую команду и нажмите клавишу ВВОД:
   find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
   В результате выполнения команды в формате «Cannot find MichaelAlexander» будут отображены имена проблемных учетных записей. В данном примере это означает, что учетная запись MichaelAlexander в домене отсутствует или пишется по-другому, например MichelleAlexander.
   
   Определите причину, по которой не удается разрешить учетную запись. Обратите внимание на возможные опечатки. Возможно, учетная запись была удалена, на компьютере используется неправильная политика или возникли проблемы с установкой доверительного отношения.
4. В случае если учетную запись необходимо удалить из состава политики, определите соответствующую политику и ее параметр. Для определения параметра, который содержит неразрешенную учетную запись, введите на компьютере, зарегистрировавшем событие SCECLI 1202, указанную ниже команду и нажмите клавишу ВВОД:
   c:\>find /i “учетная_запись” %SYSTEMROOT%\security\templates\policies\gpt*.*
   Для данного примера команда и результат ее выполнения выглядят следующим образом.

   c:\>find /i "MichaelAlexander" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelAlexander,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM

   Таким образом, искомый параметр находится в кэшированном шаблоне безопасности GPT00002.inf из соответствующего объекта групповой политики (GPO). Проблемы возникают с параметром SeInteractiveLogonRight (выводимое имя «Logon locally»).
   
   Таблицу соответствия констант (например, SeInteractiveLogonRight) и выводимых имен (например, Logon locally), см. в руководстве «Distributed Systems Guide» из Microsoft Windows 2000 Server Resource Kit, раздел «User Rights» приложения.
5. Определите объект групповой политики, в котором хранится найденный параметр. Найдите в кэшированном шаблоне безопасности текст GPOPath=. В данном примере строка выглядит следующим образом:
   GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
   Между GPOPath= и \MACHINE расположен идентификатор GUID объекта групповой политики.
6. Чтобы найти понятное имя объекта групповой политики, воспользуйтесь программой Gpotool.exe из состава Resource Kit. Введите указанную ниже команду и нажмите клавишу ВВОД:
   gpotool /verbose
   Найдите определенный на предыдущем этапе идентификатор GUID. Понятное имя находится в одной из четырех следующих строк. Например:
   

   Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Default Domain Controllers Policy

Теперь учетная запись, параметр и объект групповой политики, которые приводят к возникновению проблемы, определены. Для устранения проблемы соответствующую запись необходимо удалить или заменить.

0x2: Не удается найти указанный файл.

Подобно ошибкам с кодом 0x534 и 0x6fc, причина возникновения данной ошибки заключается в наличии неразрешимого имени учетной записи. Как правило, ошибка с кодом 0x2 указывает на неразрешимое имя учетной записи в параметре политики Группы с ограниченным доступом.

Для решения проблемы необходимо выполнить следующие действия.

1. Определите службу или объект, в котором произошел сбой. Для этого следует включить регистрацию в журнале отладки для клиентского расширения Security Configuration.
   1. Запустите редактор реестра.
   2. Найдите следующий раздел:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
   3. В меню Правка выберите команду Создать параметр для создания параметра со следующими характеристиками.
      Название параметра: ExtensionDebugLevel
      Тип данных: DWORD
      Значение: 2
   4. Закройте редактор реестра.
2. Чтобы воспроизвести ошибку, обновите параметры политики. Для обновления параметров политики введите следующую команду и нажмите клавишу ВВОД:
   secedit /refreshpolicy machine_policy /enforce
   В папкe %SYSTEMROOT%\Security\Logs будет создан файл Winlogon.log.
3. Введите следующую команду и нажмите клавишу ВВОД:
   find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
   В результате выполнения команды будут отображены имена проблемных учетных записей в формате «Cannot find MichaelAlexander». In this example, the user account MichaelAlexander does not exist in the domain, or it has a different spelling--for example, MichelleAlexander.
   
   Определите причину, по которой не удается разрешить учетную запись. Обратите внимание на возможные опечатки. Возможно, учетная запись была удалена, на компьютере используется неправильная политика или возникли проблемы с установкой доверительного отношения.
4. В случае если учетную запись необходимо удалить из состава политики, определите соответствующую политику и ее параметр. Для определения параметра, который содержит неразрешенную учетную запись, введите на компьютере, зарегистрировавшем событие SCECLI 1202, указанную ниже команду и нажмите клавишу ВВОД:
   c:\>find /i “учетная_запись” %SYSTEMROOT%\security\templates\policies\gpt*.*
   Для данного примера команда и результат ее выполнения выглядят следующим образом.

   c:\>find /i "MichaelAlexander" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM

   Таким образом, искомый параметр находится в кэшированном шаблоне безопасности GPT00002.inf из соответствующего объекта групповой политики. Проблемы возникают с параметром SeInteractiveLogonRight (выводимое имя «Logon locally»).
   
   Таблицу соответствия констант (например, SeInteractiveLogonRight) и выводимых имен (например, Logon locally), см. в руководстве «Distributed Systems Guide» из Microsoft Windows 2000 Server Resource Kit, раздел «User Rights» приложения.
5. Определите объект групповой политики, в котором хранится найденный параметр. Найдите в кэшированном шаблоне безопасности текст GPOPath=. В данном примере строка выглядит следующим образом:
   GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
   Между GPOPath= и \MACHINE расположен идентификатор GUID объекта групповой политики.
6. Чтобы найти понятное имя объекта групповой политики, воспользуйтесь программой Gpotool.exe из состава Resource Kit. Введите указанную ниже команду и нажмите клавишу ВВОД:
   gpotool /verbose
   Найдите определенный на предыдущем этапе идентификатор GUID; понятное имя находится в одной из четырех следующих строк. Например:
   

   Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Default Domain Controllers Policy

Теперь учетная запись, параметр и объект групповой политики, которые приводят к возникновению проблемы, определены. Для устранения проблемы найдите в разделе «Группы с ограниченным доступом» политики безопасности экземпляры конфликтующей учетной записи (в данном примере — MichaelAlexander) и удалите или замените соответствующую запись.

0x5: Отказано в доступе.

Как правило, эта ошибка возникает, если система не имеет соответствующих разрешений на обновление списка управления доступом для определенной службы. Такое поведение наблюдается, когда после определения в составе политики разрешений для службы, администратор не предоставляет права полного доступа системной учетной записи.

Для решения проблемы необходимо выполнить следующие действия.

1. Определите службу или объект, в котором произошел сбой. Для этого следует включить регистрацию в журнале отладки для клиентского расширения Security Configuration.
   1. Запустите редактор реестра.
   2. Найдите следующий раздел:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
   3. В меню Правка выберите команду Создать параметр для создания параметра со следующими характеристиками.
      Название параметра: ExtensionDebugLevel
      Тип данных: DWORD
      Значение: 2
   4. Закройте редактор реестра.
2. Чтобы воспроизвести ошибку, обновите параметры политики. Для обновления параметров политики введите следующую команду и нажмите клавишу ВВОД:
   secedit /refreshpolicy machine_policy /enforce
   В папкe %SYSTEMROOT%\Security\Logs будет создан файл Winlogon.log.
3. Введите следующую команду и нажмите клавишу ВВОД:
   find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.log
   В результате выполнения команды будет отображена служба с несоответствующими разрешениями, например «Error opening Dnscache». Dnscache — это сокращенное название службы клиента DNS (DNS Client service).
4. Определите политики, которые пытаются изменить разрешения для службы. Для этого в командной строке введите следующую команду и нажмите клавишу ВВОД:
   find /i "служба" %SYSTEMROOT%\security\templates\policies\gpt*.*".
   Ниже приведен пример команды и результаты ее выполнения.
   

   d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.*
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)"
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM

5. Определите объект групповой политики, в котором хранится найденный параметр. Найдите в определенном на предыдущем этапе кэшированном шаблоне безопасности текст GPOPath=. В данном примере строка выглядит следующим образом:
   GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
   Между GPOPath= и \MACHINE расположен идентификатор GUID объекта групповой политики.
6. Чтобы найти понятное имя объекта групповой политики, воспользуйтесь программой Gpotool.exe из состава Resource Kit. Введите указанную ниже команду и нажмите клавишу ВВОД:
   gpotool /verbose
   Найдите определенный на предыдущем этапе идентификатор GUID. Понятное имя находится в одной из четырех следующих строк. Например:
   

   Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Default Domain Controllers Policy

Служба с неправильными разрешениями и конфликтующий объект GPO определены. Для устранения проблемы найдите в разделе «Системные службы» политики безопасности экземпляры службы с неправильным разрешениями и предоставьте системной учетной записи право полного доступа к данной службе.

0x4b8: Ошибка расширенного типа.

Ошибка с кодом 0x4b8 может возникнуть по ряду причин. Чтобы устранить такую проблему, выполните следующие действия.

1. Включите регистрацию в журнале отладки для клиентского расширения Security Configuration.
   1. Запустите редактор реестра.
   2. Найдите следующий раздел:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
   3. В меню Правка выберите команду Создать параметр для создания параметра со следующими характеристиками.
      Название параметра: ExtensionDebugLevel
      Тип данных: DWORD
      Значение: 2
   4. Закройте редактор реестра.
2. Чтобы воспроизвести ошибку, обновите параметры политики. Для обновления параметров политики введите следующую команду и нажмите клавишу ВВОД:
   secedit /refreshpolicy machine_policy /enforce
   В папкe %SYSTEMROOT%\Security\Logs будет создан файл Winlogon.log.
3. Обратитесь к указанным ниже статьям Microsoft Knowledge Base, в которых рассмотрены известные причины возникновения ошибки с кодом 0x4b8.
   260715  (http://support.microsoft.com/kb/260715/RU/ ) После настройки политик появляются записи о событиях с кодами 1000 и 1202
   278316  (http://support.microsoft.com/kb/278316/ ) События с кодом 1000, 1202, 412 и 454 несколько раз регистрируются в журнале событий приложений