Eventos SceCli 1202 se registran cada vez que se actualice la configuración de directiva de grupo de equipo en un equipo que ejecuta Windows Server 2008 R2 o Windows 7


Síntomas


Imagine el siguiente escenario:

  • En un equipo que ejecuta Windows Server 2008 R2 o Windows 7, usted utiliza Editor de administración de directiva de grupo para administrar un objeto de directiva de grupo (GPO).
  • Se realizan muchos cambios en la configuración de "Asignación de derechos de usuario" en el GPO y esta configuración tiene un SID de cada servicio definido.
En este escenario, cuando se aplica la directiva de grupo, puede experimentar los problemas siguientes:
  • En el registro de sucesos de aplicación, se agrega un evento SceCli 1202:

    El siguiente es un ejemplo de una entrada de registro de eventos SceCli 1202:
  • Algunas aplicaciones o servicios no se inicie. Estas aplicaciones o servicios utilizar al SID de cada servicio para configurar opciones de seguridad.

    Por ejemplo:
    1. Instalar servicios de dominio de Active Directory en un servidor miembro basado en Windows Server 2008 R2.
    2. Realiza un cambio a la configuración de "Asignación de derechos de usuario" en un GPO desde un equipo que ejecuta Windows Server 2008 R2 o Windows 7.
    3. Este GPO se aplica al controlador de dominio que ejecuta Windows Server 2008 R2.
    En esta situación, se produce el problema. Algunos servicios, como el servicio de "Host de sistema de diagnóstico" no se pueden iniciar debido al problema.

Causa


Cuando el Editor de administración de directiva de grupo modifica la configuración en Asignación de derechos de usuario, convierte los SID por servicio a los nombres de servicio. Por ejemplo, el nombre de servicio de "WdiSystemHost".

El Editor de administración de directiva de grupo no agrega el prefijo "Servicio NT" en el nombre del servicio para realizar la búsqueda en el dominio interno de "Servicio NT". Cuando el Editor de administración de directiva de grupo vuelve a escribir el nombre analizado anteriormente en el archivo GptTmpl.inf, intenta resolver el nombre de "WdiSystemHost" para el dominio de Active Directory de forma predeterminada. Sin embargo, se produce un error en este intento. Además, se escribe la cadena "WdiSystemHost" al archivo GptTmpl.inf en lugar del SID. Este comportamiento sustituye al SID de cada servicio con el nombre del servicio.



Cuando se produce la siguiente actualización de directiva, la actualización intenta resolver el nombre del servicio a un SID como si fuese una cuenta de grupo o de usuario. Sin embargo, esto no funciona junto con el error 0 x 534 "ninguna asignación entre los nombres de cuenta y los identificadores de seguridad se ha efectuado."

Solución


Nota: La revisión no resuelve este problema automáticamente. Después de aplicar este hotfix, debe agregar manualmente "NT SERVICE\" directamente en el archivo GptTmpl.inf. Por ejemplo, debe reemplazar "WdiSystemHost" con "NT SERVICE\WdiSystemHost" utilizando el Editor de directivas de grupo Local.

Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplique esta revisión solamente a sistemas que experimenten el problema descripto en este artículo. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.

Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.

Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:Nota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.

Requisitos previos

Para aplicar esta revisión, el equipo debe estar ejecutando uno de los siguientes sistemas operativos:
  • Windows 7
  • Windows Server 2008 R2

Requisito de reinicio


Debe reiniciar el equipo después de aplicar este hotfix.

Información de reemplazo de revisión


Este hotfix no sustituye a otras.

Información de archivo


La versión en inglés de esta revisión tiene los atributos de archivo (o atributos del archivo más reciente) mostrados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha
Zona horaria
ficha en el
Fecha y hora
en Panel de Control.


Para todas las versiones basadas en x86 compatibles de Windows 7
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Scecli.dll6.1.7600.20527175,61615-Sep-200905:59x86
Sceregvl.infNo aplicable14,96115-Sep-200902:18No aplicable
Secrecs.infNo aplicable9,16015-Sep-200902:18No aplicable

Para todas las versiones basadas en Itanium de Windows Server 2008 R2
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Scecli.dll6.1.7600.20527473,08815-Sep-200904:56IA-64
Sceregvl.infNo aplicable14,96115-Sep-200901:51No aplicable
Secrecs.infNo aplicable9,16015-Sep-200901:51No aplicable
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Scecli.dll6.1.7600.20527175,61615-Sep-200905:59x86

Para todas las versiones de x64 de Windows Server 2008 R2 y Windows 7
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Scecli.dll6.1.7600.20527232,44815-Sep-200906:38x64
Sceregvl.infNo aplicable14,96115-Sep-200902:25No aplicable
Secrecs.infNo aplicable9,16015-Sep-200902:25No aplicable
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Scecli.dll6.1.7600.20527175,61615-Sep-200905:59x86


Estado


Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".

Más información


Después de producirse el problema, se añadirá el siguiente error en el archivo Winlogon.log:

Error 1332: Se ha hecho ninguna asignación entre los nombres de cuenta y los identificadores de seguridad. No se encuentra < nombre servicio >.


Nota: Se encuentra el archivo Winlogon.log en la carpeta siguiente:

%windir%\security\logs


Si abre el archivo GptTmpl.inf en la siguiente carpeta de directiva de grupo relacionada, encontrar algunos nombres de servicio SQL:

%SYSTEMROOT%\SYSVOL\ < dominio.com > \Policies\ < identificador exclusivo > \Machine\Microsoft\Windows NT\SecEdit


El siguiente es un ejemplo de los nombres de servicio WDI que se encuentran en el archivo GptTmpl.inf:



[Privilege Rights]

SeAssignPrimaryTokenPrivilege = WdiServiceHost,*S-1-5-20,*S-1-5-19

SeChangeNotifyPrivilege = 0 WdiServiceHost,*S-1-5-32-554,*S-1-5-11,*S-1-5-32-544,*S-1-5-20,*S-1-5-19,*S-1-1-


Nota: La revisión no resuelve este problema automáticamente. Después de aplicar este hotfix, debe agregar manualmente "NT SERVICE\" directamente en el archivo GptTmpl.inf. Por ejemplo, debe reemplazar "WdiSystemHost" con "NT SERVICE\WdiSystemHost" utilizando el Editor de directivas de grupo Local.

Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:

824684 descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de Microsoft



Información de archivo adicional para Windows Server 2008 R2 y Windows 7


Archivos adicionales para todas las versiones basadas en x86 compatibles de Windows 7

Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Package_for_kb974639_rtm~31bf3856ad364e35~x86~~6.1.1.0.mumNo aplicable1,94715-Sep-200913:35No aplicable
X86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_38b0b74c535a2c7c.manifestNo aplicable70,64415-Sep-200906:32No aplicable

Archivos adicionales para todas las versiones compatibles basadas en Itanium de Windows Server 2008 R2

Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Ia64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_38b25b4253583578.manifestNo aplicable70,64615-Sep-200906:53No aplicable
Package_for_kb974639_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mumNo aplicable1,95815-Sep-200913:35No aplicable
Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_9f23fd2240185fad.manifestNo aplicable68,20215-Sep-200906:16No aplicable

Archivos adicionales para todas las x64 basado en versiones compatibles de Windows Server 2008 R2 y Windows 7

Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Amd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_94cf52d00bb79db2.manifestNo aplicable70,64815-Sep-200908:50No aplicable
Package_for_kb974639_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mumNo aplicable2,87915-Sep-200913:35No aplicable
Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_9f23fd2240185fad.manifestNo aplicable68,20215-Sep-200906:16No aplicable