无法应用使用运行多语言用户界面包的计算机编辑的策略

文章翻译 文章翻译
文章编号: 329816 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

症状

当满足下列条件之一时,不应用在本地安全设置中定义的权限:
  • 安装了多语言用户界面 (MUI) 包,并且选择一种非英语语言作为菜单和对话框的首选语言。
  • 在域环境中混合安装了多种操作系统语言。
在应用程序事件日志中会记录类似下面的信息:
类型: 警告
来源: SceCli
类别: 无
事件 ID: 1202
日期: 10/16/1999
时间: 10:13:10 am
用户: N/A
计算机: Computername
描述: 安全策略已传播,但有警告信息。0x534:帐户名与安全标识间无任何映射完成。请在“安全性帮助”的“疑难解答”部分查找更多信息。

类型: 错误
来源: Userenv
类别: 无
事件 ID: 1000
日期: 10/16/1999
时间: 10:13:11 am
用户: NT AUTHORITY\SYSTEM
计算机: Computername
描述: 组策略客户端扩展安全已通过标志 (17) 并返回一个失败状态代码 (1332)。
如果计算机正在运行 MUI 并且登录屏幕和新用户的语言(计算机语言)与用户的用户界面语言不同,则您在该计算机上编辑域组策略时,将出现第二条错误消息。在这种情况下,策略的用户权限部分中的帐户是使用计算机语言(而不是帐户的 SID)编写的。可以检查策略中的 <计算机>\Microsoft\Windows NT\SecEdit\Gpttmpl.inf 文件以查看用户名。此问题影响内置帐户和一般帐户,但不影响“用户”容器中的帐户和您创建的帐户。

原因

如果您在 MUI 中选择英语以外的语言并编辑组策略,则组策略文件中默认帐户的帐户名称将替换为本地化的名称。这将导致组策略不会应用于英语安装。

解决方案

Windows XP

修补程序信息

要解决此问题,请获取最新的 Windows XP Service Pack。有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322389 如何获取最新的 Windows XP Service Pack

先决条件

要应用此修补程序,必须已安装 Windows XP Service Pack 1 (SP1)。

重新启动要求

应用此修补程序后,必须重新启动计算机。

修补程序替代信息

此修补程序不替代任何其他修补程序。

文件信息

此修补程序的英文版具有下表中列出的文件属性(或更新的属性)。这些文件的日期和时间按协调世界时 (UTC) 列出。当您查看文件信息时,该时间将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中“日期和时间”工具的“时区”选项卡。
基于 x86 的 Windows XP 版本
收起该表格展开该表格
文件名文件版本文件大小日期时间平台
Scecli.dll5.1.2600.1158173,56819-Feb-200306:14x86
Sceprov.dll5.0.1636.1164,35219-Feb-200306:14x86
Scesrv.dll5.1.2600.1163307,71219-Feb-200306:14x86
Secedit.exe5.1.2600.115816,89620-Jan-200302:59x86

基于 Itanium 的 Windows XP 版本
收起该表格展开该表格
文件名文件版本文件大小日期时间平台
Scecli.dll5.1.2600.1158491,00819-Feb-200306:15IA-64
Sceprov.dll5.0.1636.1593,40819-Feb-200306:15IA-64
Scesrv.dll5.1.2600.1163849,40819-Feb-200306:15IA-64
Secedit.exe5.1.2600.115836,35220-Jan-200302:59IA-64
Wscecli.dll5.1.2600.1158173,56820-Jan-200302:59x86
Wsecedit.exe5.1.2600.115816,89620-Jan-200302:59x86

Windows 2000

修补程序信息

Microsoft 现在提供了一个受支持的修补程序,但该程序只用于解决本文中提到的问题。仅当系统遇到本文描述的特定问题时才可应用此修补程序。此修补程序可能还会接受进一步的测试。因此,如果这个问题没有对您造成严重影响,我们建议您等待包含此修补程序的下一个 Windows 2000 Service Pack。

要立即解决此问题,请与 Microsoft 客户支持服务联系,以获取该修补程序。要获取 Microsoft 客户支持服务电话号码和支持费用信息的完整列表,请访问下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support
注意:特殊情况下,如果 Microsoft 支持专业人员确定某个特定的更新能够解决您的问题,可免收通常情况下收取的电话支持服务费用。对于特定更新无法解决的其他支持问题和事项,将照常收取支持费用。

先决条件

要应用此修补程序,必须安装 Windows 2000 Service Pack 3 (SP3)。

重新启动要求

应用此修补程序后,必须重新启动计算机。

修补程序替代信息

此修补程序不替代任何其他修补程序。

文件信息

此修补程序的英文版具有下表中列出的文件属性(或更新的属性)。这些文件的日期和时间按协调世界时 (UTC) 列出。当您查看文件信息时,该时间将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中“日期和时间”工具的“时区”选项卡。
收起该表格展开该表格
文件名文件版本文件大小日期时间平台
Adsldp.dll5.0.2195.6748124,68802-Sep-200303:21x86
Adsldpc.dll5.0.2195.6748132,36802-Sep-200303:21x86
Adsmsext.dll5.0.2195.674863,76002-Sep-200303:21x86
Advapi32.dll5.0.2195.6815381,71202-Sep-200303:21x86
Browser.dll5.0.2195.675369,39202-Sep-200303:21x86
Dnsapi.dll5.0.2195.6680134,92802-Sep-200303:21x86
Dnsrslvr.dll5.0.2195.678096,52802-Sep-200303:21x86
Eventlog.dll5.0.2195.681047,37602-Sep-200303:21x86
Kdcsvc.dll5.0.2195.6759148,24002-Sep-200303:21x86
Kerberos.dll5.0.2195.6758205,07218-Jun-200302:43x86
Ksecdd.sys5.0.2195.669571,88826-Mar-200306:37x86
Lsasrv.dll5.0.2195.6797509,71201-Aug-200302:40x86
Lsass.exe5.0.2195.679733,55201-Aug-200302:40x86
Msv1_0.dll5.0.2195.6786109,84017-Jul-200308:13x86
Netapi32.dll5.0.2195.6601311,56802-Sep-200303:21x86
Netlogon.dll5.0.2195.6791361,23202-Sep-200303:21x86
Ntdsa.dll5.0.2195.6810931,60002-Sep-200303:21x86
Samsrv.dll5.0.2195.6742392,46402-Sep-200303:21x86
Scecli.dll5.0.2195.6815113,93602-Sep-200303:21x86
Scesrv.dll5.0.2195.6815259,85602-Sep-200303:21x86
Sp3res.dll5.0.2195.68015,232,12814-Aug-200303:58x86
W32time.dll5.0.2195.660151,47202-Sep-200303:21x86
W32tm.exe5.0.2195.660157,10415-Aug-200222:32x86
Wldap32.dll5.0.2195.6741126,22402-Sep-200303:21x86

状态

Microsoft 已经确认这是在本文的“适用于”一节中列出的 Microsoft 产品中存在的问题。 此问题最早在 Microsoft Windows XP Service Pack 2 中得到了解决。

更多信息

安装 MUI 和修改菜单和对话框的默认语言后,所有众所周知的安全 ID (SID),如“Everyone”、“Authenticated Users”和“Interactive”都转换为新的语言。本地安全设置存储在 %SystemRoot%\Security\database\Secedit.sdb 文件中,该文件实际上是一个 Microsoft Jet 数据库。用户和组帐户以字符串而非 SID 的形式存储。因此,在您更改 MUI 的语言后,“Everyone”字符串就不能映射为一个有效的 SID,而且如果权限以前所包含的帐户名称已更改,则无法应用这些权限。

当您安装了本文所列的修补程序后,一般帐户以 SID 形式保存在策略中。但是,内置帐户情况则不同。这些帐户显示为 SID,并且还以下面的形式存储:
  • *S-1-5-32-548 (Account Operators)
  • *S-1-5-32-549 (System Operators)
  • *S-1-5-32-550 (Print Operators)
这是因为这些帐户在成员计算机上不存在,并且无法解析。SID 本身仍表示它是一个本地解析的内置帐户。这些帐户以 SID 形式写回到策略中并且不会引发问题。

这些帐户以 SID 形式从策略中加载,但使用计算机语言以字符串形式存储:
  • Administrators
  • Backup Operators
  • Guests
  • Pre-Windows 2000 Compatible Access
  • Replicator
  • Users
这些 SID 在成员计算机上是已知的,但就目前的 Windows XP 设计而言,无法正确执行语言映射。

在向策略添加帐户时,如果计算机语言和用户语言不匹配,则这些帐户将存储为等价的英语形式的帐户:
  • Account Operators
  • Administrators
  • ANONYMOUS LOGON
  • Authenticated Users
  • Backup Operators
  • CREATOR GROUP
  • CREATOR OWNER
  • ENTERPRISE DOMAIN CONTROLLERS
  • Everyone
  • Guests
  • INTERACTIVE
  • NETWORK
  • Pre-Windows 2000 Compatible Access
  • Print Operators
  • Replicator
  • RESTRICTED
  • SELF
  • Server Operators
  • SERVICE
  • Users
这是对象选择器的限制。

存在本文列出的问题的许多帐户主要用在“默认域控制器”策略中。Microsoft 建议您仅在使用域控制器时更改此策略(通过终端服务),而在运行 MUI 时则不要更改此策略。

其他帐户在域成员的用户权限指派中受限制或者不能使用。最好使用全局组或用户帐户授予用户权限。这些帐户以自己的名称存储时不存在问题。

参考

890737 在 Windows XP Professional 中编辑然后保存组策略对象时收到“No mapping between account names and security IDs was done”(帐户名与安全标识间无任何映射完成)错误

属性

文章编号: 329816 - 最后修改: 2007年11月15日 - 修订: 6.7
这篇文章中的信息适用于:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
关键字:?
kbtshoot kbbug kbfix kbqfe kbwinxpsp2fix kbwinxppresp2fix kbhotfixserver KB329816
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com