Poradce při potížích s událostmi SCECLI 1202

Souhrn

Tento článek popisuje postupy určování a řešení potíží s událostmi SCECLI 1202.

Další informace

Prvním krokem řešení těchto událostí je identifikace kódu chyby Win32. Tento kód chyby určuje typ selhání, které je příčinou dané události SCECLI 1202. Následuje příklad události SCECLI 1202. Kód chyby je uvedený v poli Popis. V tomto příkladu je kód chyby 0x534. Za kódem chyby následuje text popisu chyby. Po určení kódu chyby vyhledejte v tomto článku část týkající se uvedeného kódu a použijte postup pro řešení potíží popsaný v této části.

0x534: Nebylo provedeno mapování mezi názvy účtů a ID zabezpečení.
-nebo-
0x6fc: Došlo k chybě vztahu důvěryhodnosti mezi primární doménou a důvěryhodnou doménou.

Tyto kódy chyb znamenají, že nedošlo k přeložení účtu zabezpečení na identifikátor zabezpečení (SID). Obvykle k tomu dochází buď proto, že byl nesprávně zadán název účtu, nebo protože po přidání účtu do nastavení zásad zabezpečení došlo k odstranění účtu. Většinou k tomu dochází v části Uživatelská práva nebo Skupiny s omezeným členstvím v nastavení zásad zabezpečení. Tento problém může také nastat, pokud účet existuje v rámci důvěryhodnosti a dojde k porušení vztahu důvěryhodnosti.

Chcete-li tento problém vyřešit, postupujte takto:
 1. Určete účet, který je příčinou chyby. Povolte protokolování při ladění pro rozšíření konfigurace zabezpečení na straně klienta. Postup:
  1. Spusťte program Editor registru.
  2. Vyhledejte následující podklíč registru a klepněte na něj:
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
  3. V nabídce Úpravy klepněte na příkaz Přidat hodnotu a zadejte následující hodnotu registru:
   Název hodnoty: ExtensionDebugLevel
   Typ dat: DWORD
   Údaj hodnoty: 2
  4. Ukončete program Editor registru.
 2. Aktualizujte nastavení zásad, abyste reprodukovali chybu. Chcete-li aktualizovat nastavení zásad, zadejte na příkazovém řádku následující příkaz a stiskněte klávesu ENTER:
  secedit /refreshpolicy machine_policy /enforce
  Vytvoří se soubor s názvem Winlogon.log ve složce %SYSTEMROOT%\Security\Logs.
 3. Najděte problémový účet. Na příkazovém řádku zadejte následující příkaz a stisknete klávesu ENTER:
  find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
  Výstup příkazu Find identifikuje názvy problémových účtů, například „Cannot find MichaelAlexander.“ (Položka MichaelAlexander nebyla nalezena.) V tomto příkladu uživatelský účet MichaelAlexander v doméně neexistuje, případně se jinak píše, například MichelleAlexander.

  Zjistěte, proč nelze tento účet přeložit. Prozkoumejte například, zda název neobsahuje typografické chyby, zda nedošlo k odstranění účtu, zda nebyly pro daný počítač použity nesprávné zásady, nebo zda nenastal problém důvěryhodnosti.
 4. Zjistíte-li, že je třeba odebrat účet ze zásady, najděte problémovou zásadu a problémové nastavení. Chcete-li určit, které nastavení obsahuje nepřeložený účet, na příkazovém řádku v počítači, kde dochází k události SCECLI 1202, zadejte následující příkaz a potom stiskněte klávesu ENTER:
  c:\>find /i “název_účtu” %SYSTEMROOT%\security\templates\policies\gpt*.*
  V tomto příkladu jsou syntaxe a výsledky následující:
  c:\>find /i "MichaelAlexander" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM

  ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF

  ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelAlexander,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548

  ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
  To identifikuje soubor GPT00002.inf jako šablonu zabezpečení uloženou v mezipaměti z objektu zásad skupiny, který obsahuje problémové nastavení. Výstup dále identifikuje problémové nastavení jako SeInteractiveLogonRight. Zobrazovaný název pro položku SeInteractiveLogonRight je Místní přihlášení.

  Mapu překladu konstant (například SeInteractiveLogonRight) na zobrazované názvy (například Místní přihlášení) naleznete v části Průvodce distribuovanými systémy v sadě Resource Kit systému Windows 2000 Server. Mapa je v dodatku v části Uživatelská práva.
 5. Určete, který objekt zásad skupiny obsahuje problémové nastavení. V šabloně zabezpečení uložené v mezipaměti, kterou jste identifikovali v kroku 4, vyhledejte text „GPOPath=“. V tomto příkladu by se zobrazil text:
  GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
  Mezi hodnotami „GPOPath=“ a „\MACHINE“ je hledaný identifikátor GUID objektu zásad skupiny.
 6. Chcete-li najít popisný název objektu zásad skupiny, použijte nástroj Gpotool.exe sady Resource Kit. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
  gpotool /verbose
  Ve výstupu vyhledejte identifikátor GUID, který jste určili v kroku 5. Čtyři řádky následující za identifikátorem GUID obsahují popisný název zásady. Příklad:
  Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Výchozí zásada řadičů domény 
Nyní jste identifikovali problémový učet, problémové nastavení a problémový objekt zásad skupiny. Chcete-li problém vyřešit, je třeba odebrat nebo nahradit problémovou položku.

0x2: Systém nemůže nalézt uvedený soubor.

Tato chyba je podobná chybám 0x534 a 0x6fc v tom, že je způsobena nepřeložitelným názvem účtu. Dojde-li k chybě 0x2, obvykle to znamená, že v nastavení zásad Skupiny s omezeným členstvím byl zadán nepřeložitelný název účtu.

Chcete-li tento problém vyřešit, postupujte takto:
 1. Určete, které služby nebo objektu se chyba týká. Povolte protokolování při ladění pro rozšíření na straně klienta Konfigurace zabezpečení. Postup:
  1. Spusťte program Editor registru.
  2. Vyhledejte následující podklíč registru a klepněte na něj:
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
  3. V nabídce Úpravy klepněte na příkaz Přidat hodnotu a zadejte následující hodnotu registru:
   Název hodnoty: ExtensionDebugLevel
   Typ dat: DWORD
   Údaj hodnoty: 2
  4. Ukončete program Editor registru.
 2. Aktualizujte nastavení zásad, abyste reprodukovali chybu. Chcete-li aktualizovat nastavení zásad, na příkazovém řádku zadejte následující příkaz a potom stiskněte klávesu ENTER:
  secedit /refreshpolicy machine_policy /enforce
  Vytvoří se soubor s názvem Winlogon.log ve složce %SYSTEMROOT%\Security\Logs.
 3. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
  find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
  Výstup příkazu Find určuje názvy problémových účtů, například „Cannot find MichaelAlexander.“ (Položka MichaelAlexander nebyla nalezena.) V tomto příkladu uživatelský účet MichaelAlexander v doméně neexistuje, případně se jinak píše, například MichelleAlexander.

  Zjistěte, proč nelze tento účet přeložit. Prozkoumejte například, zda název neobsahuje typografické chyby, zda nedošlo k odstranění účtu, zda nebyly pro daný počítač použity nesprávné zásady, nebo zda nenastal problém důvěryhodnosti.
 4. Zjistíte-li, že je třeba odebrat účet ze zásady, najděte problémovou zásadu a problémové nastavení. Chcete-li určit, které nastavení obsahuje nepřeložený účet, na příkazovém řádku v počítači, kde dochází k události SCECLI 1202, zadejte následující příkaz a potom stiskněte klávesu ENTER:
  c:\>find /i “název_účtu” %SYSTEMROOT%\security\templates\policies\gpt*.*
  V tomto příkladu jsou syntaxe a výsledky následující:
  c:\>find /i "MichaelAlexander" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM

  ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF

  ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548

  ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
  To identifikuje soubor GPT00002.inf jako šablonu zabezpečení uloženou v mezipaměti z problémového objektu zásad skupiny, který obsahuje problémové nastavení. Výstup dále identifikuje problémové nastavení jako SeInteractiveLogonRight. Zobrazovaný název pro položku SeInteractiveLogonRight je Místní přihlášení.

  Mapu překladu konstant (například SeInteractiveLogonRight) na zobrazované názvy (například Místní přihlášení) naleznete v části Průvodce distribuovanými systémy v sadě Resource Kit systému Windows 2000 Server. Mapa je v dodatku v části Uživatelská práva.
 5. Určete, který objekt zásad skupiny obsahuje problémové nastavení. V šabloně zabezpečení uložené v mezipaměti, kterou jste identifikovali v kroku 4, vyhledejte text „GPOPath=“. V tomto příkladu by se zobrazil text:
  GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
  Mezi hodnotami „GPOPath=“ a „\MACHINE“ je hledaný identifikátor GUID objektu zásad skupiny.
 6. Chcete-li najít popisný název objektu zásad skupiny, použijte nástroj Gpotool.exe sady Resource Kit. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
  gpotool /verbose
  Ve výstupu vyhledejte identifikátor GUID, který jste identifikovali v kroku 5. Čtyři řádky následující za identifikátorem GUID obsahují popisný název zásady. Příklad:
  Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Výchozí zásada řadičů domény 

Nyní jste identifikovali problémový učet, problémové nastavení a problémový objekt zásad skupiny. Chcete-li odstranit tento problém, v zásadách zabezpečení v části Skupiny s omezeným členstvím vyhledejte instance problémového účtu (v tomto příkladu se jedná o položku „MichaelAlexander“) a potom problémovou položku odeberte nebo nahraďte.

0x5: Přístup byl odepřen.

K této chybě obvykle dochází, když systému nebyla udělena správná oprávnění k aktualizaci seznamu kontroly přístupu nějaké služby. Může k tomu dojít, pokud správce definuje oprávnění pro službu v zásadách, ale neudělí systémovému účtu oprávnění Úplné řízení.

Chcete-li tento problém vyřešit, postupujte takto:
 1. Určete, které služby nebo objektu se chyba týká. Povolte protokolování při ladění pro rozšíření na straně klienta Konfigurace zabezpečení. Postup:
  1. Spusťte program Editor registru.
  2. Vyhledejte následující podklíč registru a klepněte na něj:
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
  3. V nabídce Úpravy klepněte na příkaz Přidat hodnotu a zadejte následující hodnotu registru:
   Název hodnoty: ExtensionDebugLevel
   Typ dat: DWORD
   Údaj hodnoty: 2
  4. Ukončete program Editor registru.
 2. Aktualizujte nastavení zásad, abyste reprodukovali chybu. Chcete-li aktualizovat nastavení zásad, zadejte na příkazovém řádku následující příkaz a stiskněte klávesu ENTER:
  secedit /refreshpolicy machine_policy /enforce
  Vytvoří se soubor s názvem Winlogon.log ve složce %SYSTEMROOT%\Security\Logs.
 3. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
  find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.log
  Výstup příkazu Find identifikuje službu s nesprávně nakonfigurovanými oprávněními, například „Error opening Dnscache“. Dnscache je zkrácený název služby Klient DNS.
 4. Zjistěte, která zásada či zásady se pokoušejí změnit oprávnění dané služby. Chcete-li to provést, zadejte do příkazového řádku následující příkaz a stiskněte klávesu ENTER:
  find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*".
  Následuje ukázka příkazu a jeho výstup:
  d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.*

  ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM

  ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF

  ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)"

  ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
 5. Určete, který objekt zásad skupiny obsahuje problémové nastavení. V šabloně zabezpečení uložené v mezipaměti, kterou jste identifikovali v kroku 4, vyhledejte text „GPOPath=“. V tomto příkladu by se zobrazil text:
  GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
  Mezi hodnotami „GPOPath=“ a „\MACHINE“ je hledaný identifikátor GUID objektu zásad skupiny.
 6. Chcete-li najít popisný název objektu zásad skupiny, použijte nástroj Gpotool.exe sady Resource Kit. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
  gpotool /verbose
  Ve výstupu vyhledejte identifikátor GUID, který jste určili v kroku 5. Čtyři řádky následující za identifikátorem GUID obsahují popisný název zásady. Příklad:
  Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Výchozí zásada řadičů domény 
Nyní jste identifikovali službu s nesprávně nakonfigurovanými oprávněními a problémový objekt zásad skupiny. Chcete-li problém vyřešit, v zásadách zabezpečení vyhledejte v části Systémové služby případy služby s nesprávně nakonfigurovanými oprávněními a proveďte nápravu, aby byla systémovému účtu udělena oprávnění Úplné řízení pro danou službu.

0x4b8: Došlo k rozšířené chybě.

Chyba 0x4b8 je obecná chyba, která může být zapříčiněna řadou různých problémů. Při řešení těchto chyb postupujte takto:
 1. Povolte protokolování při ladění pro rozšíření na straně klienta Konfigurace zabezpečení. Postup:
  1. Spusťte program Editor registru.
  2. Vyhledejte následující podklíč registru a klepněte na něj:
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
  3. V nabídce Úpravy klepněte na příkaz Přidat hodnotu a zadejte následující hodnotu registru:
   Název hodnoty: ExtensionDebugLevel
   Typ dat: DWORD
   Údaj hodnoty: 2
  4. Ukončete program Editor registru.
 2. Aktualizujte nastavení zásad, abyste reprodukovali chybu. Chcete-li aktualizovat nastavení zásad, zadejte na příkazovém řádku následující příkaz a stiskněte klávesu ENTER:
  secedit /refreshpolicy machine_policy /enforce
  Vytvoří se soubor s názvem Winlogon.log ve složce %SYSTEMROOT%\Security\Logs.
 3. Prostudujte si následující články znalostní báze Microsoft Knowledge Base. Tyto články popisují známé problémy, které způsobují chybu 0x4b8. Články znalostní báze Microsoft Knowledge Base zobrazíte klepnutím na následující čísla článků:
  260715 Události ID 1000 a 1202 po konfiguraci zásad (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
  278316 Do protokolu aplikací jsou opakovaně zaznamenávána ID události ESENT 1000, 1202, 412 a 454
Vlastnosti

ID článku: 324383 - Poslední kontrola: 13. 2. 2007 - Revize: 1

Váš názor