SceCli 1202-Ereignisse werden protokolliert, wenn einige Gruppenrichtlinien in Windows Server 2008 R2 und Windows 7 aktualisiert werden


Problembeschreibung


Betrachten Sie das folgende Szenario:
  • Auf einem Computer mit Windows Server 2008 R2 oder Windows 7 wird der Gruppenrichtlinienverwaltungs-Editor ein Gruppenrichtlinienobjekt (GPO) zu verwenden.
  • Einige Änderungen auf die Zuweisung von Benutzerrechten im Gruppenrichtlinienobjekt und dazu haben eine SID pro Dienst definiert.
  • Sie exportieren und importieren eine Richtlinie, die Benutzer Rechte Zuordnung durch Group Policy Management Console (GPMC Einstellung).
  • Änderung Gruppenrichtlinienkonsole mit Advanced Group Policy Management (AGPM) ausgeführt werden.
In diesem Szenario können die folgenden Probleme treten beim resultierende Gruppenrichtlinienobjekt angewendet wird:
  • Folgende SceCli 1202-Ereignis wird im Anwendungsprotokoll angefügt:

  • Einige Programme und einige Dienste starten. Anwendung und diese Dienste verwenden pro Dienst-SID einige Sicherheit konfigurieren.
Es folgen Beispiele für spezifischere Probleme:

  • Einige Dienste können nicht auf einem Domänencontroller mit Windows Server 2008 R2 gestartet. Ein Beispiel für einen Dienst starten kann ist Diagnostic System Host-Dienst.
  • Einige SQL Server-Funktionen wie die Funktionen für die Replikation beim Funktionen führen Sie Änderungen nicht funktionieren, oder wenn die Funktionen sich Ordner Berechtigungen ausführen.
  • Einige Funktionen in IIS (Internetinformationsdienste) 7.5 funktionieren nicht.

Ursache


Ändert den Gruppenrichtlinienverwaltungs-Editor Einstellungen unter Benutzerrechten, übersetzt pro Dienst-SIDs auf Namen. Angenommen, der "WdiServiceHost" Dienstname.



Der Gruppenrichtlinienverwaltungs-Editor fügt nicht das Präfix "NT-Dienst" oder "IIS AppPool" den Namen bei der Suche in die interne Domäne "NT-Dienst" und der internen Domäne "IIS AppPool". Wenn der Gruppenrichtlinienverwaltungs-Editor zuvor analysierten Namen wieder in die Datei "GptTmpl.inf" schreibt, versucht der Gruppenrichtlinienverwaltungs-Editor nur den Dienstnamen für die Active Directory-Standarddomäne aufzulösen. Allerdings schlägt dieser Versuch fehl. Außerdem steht die Zeichenfolge den Namen der Datei "GptTmpl.inf" statt pro Dienst-SID. Dieses Verhalten ersetzt der Dienstname pro Dienst-SID.



Tritt die nächste Aktualisierung versucht das Update der Dienstname SID aufzulösen. Allerdings nimmt die Aktualisierung der Dienstname ein Benutzer- oder Gruppenkonto. Daher dies fehlschlägt und Sie erhalten die folgende Fehlermeldung angezeigt:
0 x 534 "wurde keine Zuordnung zwischen Kontoname und Sicherheits-IDs Fertig"

Problemlösung


Hotfix-Informationen

Ein unterstützter Hotfix ist von Microsoft erhältlich. Dieser Hotfix soll nur der Behebung des Problems dienen, das in diesem Artikel beschrieben wird. Wenden Sie dieses Hotfix nur auf Systeme an, bei denen das in diesem Artikel beschriebene Problem auftritt. Dieser Hotfix sollte weiteren Tests unterzogen werden. Wenn Ihr System durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfehlen wir sie, auf das nächste Softwareupdate zu warten, das diesen Hotfix enthält.

Wenn der Hotfix zum Download zur Verfügung steht, gibt es einen Abschnitt "Hotfixdownload available" ("Hotfixdownload verfügbar"), am oberen Rand dieses Knowledge Base-Artikel. Wenn dieser Abschnitt nicht angezeigt wird, wenden Sie sich an den Microsoft Customer Service and Support, um den Hotfix zu erhalten.

Hinweis Falls weitere Probleme auftreten oder andere Schritte zur Problembehandlung erforderlich sind, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die nicht diesem speziellen Hotfix zugeordnet werden können. Für eine vollständige Liste der Telefonnummern des Microsoft Customer Service and Support, oder um eine separate Serviceanfrage zu erstellen, gehen Sie auf folgende Microsoft-Website:Hinweis Das Formular "Hotfix download available" ("Hotfixdownload verfügbar") zeigt die Sprachen an, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist dieser Hotfix für Ihre Sprache nicht verfügbar.

Voraussetzungen

Um diesen Hotfix anwenden zu können, muss Ihr Computer Windows 7 oder Windows Server 2008 R2 ausgeführt werden.

Anleitung zur Installation

Der Hotfix löst dieses Problem nicht automatisch. Nachdem Sie diesen Hotfix installieren, müssen Sie einmal manuell das entsprechenden Service-Präfix anfügen. Verwenden Sie dazu das Verfahren im Abschnitt "Abhilfe".

Neustartanforderung

Sie müssen den Computer neu starten, nachdem Sie diesen Hotfix anwenden.

Informationen zu ersetzten Hotfixes

Dieser Hotfix ersetzt den zuvor veröffentlichten Hotfix 974639

974639 SceCli 1202-Ereignissen werden protokolliert, wenn Computer Gruppenrichtlinien auf einem Computer aktualisiert werden, auf dem Windows Server 2008 R2 oder Windows 7 ausgeführt wird

Dateiinformationen

Die US-englische Version dieses Hotfixes installiert Dateien mit den in den folgenden Tabellen aufgeführten Attributen. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) aufgelistet. Die Datums- und Uhrzeitangaben für diese Dateien werden auf Ihrem lokalen Computer in Ihrer Ortszeit mit dem aktuellen Sommerzeit-Zeitunterschied (DST) angezeigt. Darüber hinaus können sich die Datums- und Uhrzeitangaben ändern, wenn Sie bestimmte Operationen auf die Dateien anwenden.
Hinweise zu den Dateiinformationen für Windows 7 und Windows Server 2008 R2
Wichtig Hotfixes für Windows 7 und Windows Server 2008 R2 sind in denselben Paketen enthalten. Allerdings werden Hotfixes auf der Hotfix-Anforderungsseite unter beiden Betriebssystemen aufgelistet. Um das Hotfix-Paket anzufordern, das auf eine oder beide Betriebssysteme angewendet kann, wählen Sie den Hotfix aus, der auf der Seite unter "Windows 7/Windows Server 2008 R2" aufgeführt ist. Beachten Sie im Abschnitt "Gilt für" im Artikel, um das aktuelle Betriebssystem zu bestimmen, dem die einzelnen Hotfixes gelten.
  • Die MANIFEST-Dateien (.manifest) und MUM-Dateien (.mum), die für jede Umgebung installiert werden, sind separat aufgeführt im Abschnitt "Weitere Dateiinformationen für Windows Server 2008 R2 und Windows 7". MUM- und MANIFEST-Dateien sowie die zugehörigen Sicherheitskatalogdateien (.cat) Dateien sind sehr wichtig, den Status der aktualisierten Komponente beizubehalten. Die Sicherheitskatalogdateien, deren Attribute nicht aufgeführt sind, sind mit einer digitalen Microsoft-Signatur signiert.
Für alle unterstützten x86-basierten Versionen von Windows 7

DateinameDateiversionDateigrößeDatumZeitPlattform
Scecli.dll6.1.7600.20617175,61614-Jan-201007:37x86
Sceregvl.infPC14,96114-Jan-201003:59PC
Secrecs.infPC9,16014-Jan-201003:59PC
Für alle unterstützten x64-basierten Versionen von Windows 7 und Windows Server 2008 R2

DateinameDateiversionDateigrößeDatumZeitPlattform
Scecli.dll6.1.7600.20617232.96014-Jan-201008:15x64
Sceregvl.infPC14,96114-Jan-201004:19PC
Secrecs.infPC9,16014-Jan-201004:19PC
Scecli.dll6.1.7600.20617175,61614-Jan-201007:37x86
Für alle unterstützten IA-64-basierten Versionen von Windows Server 2008 R2

DateinameDateiversionDateigrößeDatumZeitPlattform
Scecli.dll6.1.7600.20617474,11214-Jan-201006:58IA-64
Sceregvl.infPC14,96114-Jan-201003:31PC
Secrecs.infPC9,16014-Jan-201003:31PC
Scecli.dll6.1.7600.20617175,61614-Jan-201007:37x86

PROBLEMUMGEHUNG


Fügen Sie um dieses Problem zu umgehen, das Präfix Dienstkonten manuell durch Bearbeiten der Datei "GptTmpl.inf hinzu".
  • Fügen Sie für die IIS-Identitäten "IIS AppPool\" Präfix hinzu Es folgen Beispiele einer IIS-Identität:
    • DefaultAppPool
    • Classic .NET AppPool
  • Windows-Dienstnamen und für die SQL Server-Dienstnamen "NT-Dienst" Präfix hinzufügen. Es folgen einige Beispiele eines SQL Server-Dienst und einen Windows-Dienst ein:
    • WdiServiceHost
    • MSSQLSERVER
    • MSSQLFDLauncher
Hinweis Wir empfehlen diesen Hotfix zur Behebung dieses Problems.

Status


Microsoft hat bestätigt, dass es sich um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt „Eigenschaften“ aufgeführt sind.

Weitere Informationen


Dieser Hotfix behebt das Problem für das Präfix "IIS-AppPool\". Beim Öffnen der Datei "GptTmpl.inf" im folgenden verknüpfte Gruppenrichtlinien-Ordner finden Sie einige Namen statt SIDs:
%SYSTEMROOT%\SYSVOL\ < Domänenname > \Policies\ < UID > \Machine\Microsoft\Windows

Nachfolgend ein Beispiel einige nicht aufgelösten Namen, die in der Datei "GptTmpl.inf" befinden:

[Privilege Rights] SeAssignPrimaryTokenPrivilege = WdiServiceHost,*S-1-5-20,*S-1-5-19,DefaultAppPool,Classic .NET AppPool,MSSQLSERVER,MSSQLFDLauncher
SeChangeNotifyPrivilege = WdiServiceHost,*S-1-5-32-554,*S-1-5-11,*S-1-5-32-544,*S-1-5-20,*S-1-5-19,*S-1-1- 0,MSSQLSERVER,MSSQLFDLauncher
SeAuditPrivilege = DefaultAppPool,*S-1-5-19,*S-1-5-20,Classic .NET AppPool

Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

975566 SceCli 1202-Ereignissen werden protokolliert, wenn Computer Gruppenrichtlinien auf einem Computer aktualisiert werden, auf dem Windows Server 2008 oder Windows Vista ausgeführt wird

Um weitere Informationen zur Terminologie für Softwareupdates zu erhalten, klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:

824684 Erläuterung von der standardmäßigen Standardbegriffen bei Microsoft Softwareupdates

Weitere Dateiinformationen

Weitere Dateiinformationen für Windows 7 und Windows Server 2008 R2

Weitere Dateien für alle unterstützten x86-basierten Versionen von Windows 7

DateinameUpdate.mum
DateiversionPC
Dateigröße1.674
Datum (UTC)15-Jan-2010
Zeit (UTC)00:05
PlattformPC
DateinameX86_4b23d6171b29fe190f750dbfdff5a3c8_31bf3856ad364e35_6.1.7600.20617_none_c6c85e7ef28644ad.manifest
DateiversionPC
Dateigröße733
Datum (UTC)15-Jan-2010
Zeit (UTC)00:05
PlattformPC
DateinameX86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_38bb891e53520db2.manifest
DateiversionPC
Dateigröße70,644
Datum (UTC)14-Jan-2010
Zeit (UTC)08:05
PlattformPC
Weitere Dateien für alle unterstützten x64-basierten Versionen von Windows 7 und Windows Server 2008 R2

DateinameAmd64_8331c794b0ea1624f2d703935632f539_31bf3856ad364e35_6.1.7600.20617_none_6f4a74113706c5bf.manifest
DateiversionPC
Dateigröße737
Datum (UTC)15-Jan-2010
Zeit (UTC)00:05
PlattformPC
DateinameAmd64_a429a62f5dfe97d159700bc70cb9194b_31bf3856ad364e35_6.1.7600.20617_none_f8dbb49ab59a5dd2.manifest
DateiversionPC
Dateigröße737
Datum (UTC)15-Jan-2010
Zeit (UTC)00:05
PlattformPC
DateinameAmd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_94da24a20baf7ee8.manifest
DateiversionPC
Dateigröße70,648
Datum (UTC)14-Jan-2010
Zeit (UTC)08:53
PlattformPC
DateinameUpdate.mum
DateiversionPC
Dateigröße2,328
Datum (UTC)15-Jan-2010
Zeit (UTC)00:05
PlattformPC
DateinameWow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_9f2ecef4401040e3.manifest
DateiversionPC
Dateigröße68,202
Datum (UTC)14-Jan-2010
Zeit (UTC)07:52
PlattformPC
Weitere Dateien für alle unterstützten IA-64-basierten Versionen von Windows Server 2008 R2

DateinameIa64_318432fa0b83986063b79144bea75ebd_31bf3856ad364e35_6.1.7600.20617_none_5a784932fdc5c7f2.manifest
DateiversionPC
Dateigröße735
Datum (UTC)15-Jan-2010
Zeit (UTC)00:05
PlattformPC
DateinameIa64_a429a62f5dfe97d159700bc70cb9194b_31bf3856ad364e35_6.1.7600.20617_none_9cbebd0cfd3af598.manifest
DateiversionPC
Dateigröße736
Datum (UTC)15-Jan-2010
Zeit (UTC)00:05
PlattformPC
DateinameIa64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_38bd2d14535016ae.manifest
DateiversionPC
Dateigröße70,646
Datum (UTC)14-Jan-2010
Zeit (UTC)08:33
PlattformPC
DateinameUpdate.mum
DateiversionPC
Dateigröße1684
Datum (UTC)15-Jan-2010
Zeit (UTC)00:05
PlattformPC
DateinameWow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_9f2ecef4401040e3.manifest
DateiversionPC
Dateigröße68,202
Datum (UTC)14-Jan-2010
Zeit (UTC)07:52
PlattformPC