Síntomas
Imagine el siguiente escenario:
-
En un equipo que ejecuta Windows Server 2008 R2 o Windows 7, usted utiliza Editor de administración de directiva de grupo para administrar un objeto de directiva de grupo (GPO).
-
Se realizan muchos cambios en la configuración de "Asignación de derechos de usuario" en el GPO y esta configuración tiene un SID de cada servicio definido.
En este escenario, cuando se aplica la directiva de grupo, puede experimentar los problemas siguientes:
-
En el registro de sucesos de aplicación, se agrega un evento SceCli 1202:
El siguiente es un ejemplo de una entrada de registro de eventos SceCli 1202: -
Algunas aplicaciones o servicios no se inicie. Estas aplicaciones o servicios utilizar al SID de cada servicio para configurar opciones de seguridad.
Por ejemplo:-
Instalar servicios de dominio de Active Directory en un servidor miembro basado en Windows Server 2008 R2.
-
Realiza un cambio a la configuración de "Asignación de derechos de usuario" en un GPO desde un equipo que ejecuta Windows Server 2008 R2 o Windows 7.
-
Este GPO se aplica al controlador de dominio que ejecuta Windows Server 2008 R2.
En esta situación, se produce el problema. Algunos servicios, como el servicio de "Host de sistema de diagnóstico" no se pueden iniciar debido al problema.
-
Causa
Cuando el Editor de administración de directiva de grupo modifica la configuración en Asignación de derechos de usuario, convierte los SID por servicio a los nombres de servicio. Por ejemplo, el nombre de servicio de "WdiSystemHost".
El Editor de administración de directiva de grupo no agrega el prefijo "Servicio NT" en el nombre del servicio para realizar la búsqueda en el dominio interno de "Servicio NT". Cuando el Editor de administración de directiva de grupo vuelve a escribir el nombre analizado anteriormente en el archivo GptTmpl.inf, intenta resolver el nombre de "WdiSystemHost" para el dominio de Active Directory de forma predeterminada. Sin embargo, se produce un error en este intento. Además, se escribe la cadena "WdiSystemHost" al archivo GptTmpl.inf en lugar del SID. Este comportamiento sustituye al SID de cada servicio con el nombre del servicio.
Cuando se produce la siguiente actualización de directiva, la actualización intenta resolver el nombre del servicio a un SID como si fuese una cuenta de grupo o de usuario. Sin embargo, esto no funciona junto con el error 0 x 534 "ninguna asignación entre los nombres de cuenta y los identificadores de seguridad se ha efectuado."
Solución
Nota: La revisión no resuelve este problema automáticamente. Después de aplicar este hotfix, debe agregar manualmente "NT SERVICE\" directamente en el archivo GptTmpl.inf. Por ejemplo, debe reemplazar "WdiSystemHost" con "NT SERVICE\WdiSystemHost" utilizando el Editor de directivas de grupo Local.
Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplique esta revisión solamente a sistemas que experimenten el problema descripto en este artículo. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.
Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.
Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:
http://support.microsoft.com/contactus/?ws=supportNota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.
Requisitos previos
Para aplicar esta revisión, el equipo debe estar ejecutando uno de los siguientes sistemas operativos:
-
Windows 7
-
Windows Server 2008 R2
Requisito de reinicio
Debe reiniciar el equipo después de aplicar este hotfix.
Información de reemplazo de revisión
Este hotfix no sustituye a otras.
Información de archivo
La versión en inglés de esta revisión tiene los atributos de archivo (o atributos del archivo más reciente) mostrados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha
Zona horaria
ficha en el
Fecha y hora
en Panel de Control.
Para todas las versiones basadas en x86 compatibles de Windows 7
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Scecli.dll |
6.1.7600.20527 |
175,616 |
15-Sep-2009 |
05:59 |
x86 |
|
Sceregvl.inf |
No aplicable |
14,961 |
15-Sep-2009 |
02:18 |
No aplicable |
|
Secrecs.inf |
No aplicable |
9,160 |
15-Sep-2009 |
02:18 |
No aplicable |
Para todas las versiones basadas en Itanium de Windows Server 2008 R2
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Scecli.dll |
6.1.7600.20527 |
473,088 |
15-Sep-2009 |
04:56 |
IA-64 |
|
Sceregvl.inf |
No aplicable |
14,961 |
15-Sep-2009 |
01:51 |
No aplicable |
|
Secrecs.inf |
No aplicable |
9,160 |
15-Sep-2009 |
01:51 |
No aplicable |
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Scecli.dll |
6.1.7600.20527 |
175,616 |
15-Sep-2009 |
05:59 |
x86 |
Para todas las versiones de x64 de Windows Server 2008 R2 y Windows 7
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Scecli.dll |
6.1.7600.20527 |
232,448 |
15-Sep-2009 |
06:38 |
x64 |
|
Sceregvl.inf |
No aplicable |
14,961 |
15-Sep-2009 |
02:25 |
No aplicable |
|
Secrecs.inf |
No aplicable |
9,160 |
15-Sep-2009 |
02:25 |
No aplicable |
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Scecli.dll |
6.1.7600.20527 |
175,616 |
15-Sep-2009 |
05:59 |
x86 |
Estado
Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".
Más información
Después de producirse el problema, se añadirá el siguiente error en el archivo Winlogon.log:
Error 1332: Se ha hecho ninguna asignación entre los nombres de cuenta y los identificadores de seguridad. No se encuentra < nombre servicio >.
Nota: Se encuentra el archivo Winlogon.log en la carpeta siguiente:
%windir%\security\logs
Si abre el archivo GptTmpl.inf en la siguiente carpeta de directiva de grupo relacionada, encontrar algunos nombres de servicio SQL:
%SYSTEMROOT%\SYSVOL\ < dominio.com > \Policies\ < identificador exclusivo > \Machine\Microsoft\Windows NT\SecEdit
El siguiente es un ejemplo de los nombres de servicio WDI que se encuentran en el archivo GptTmpl.inf:
[Privilege Rights]
SeAssignPrimaryTokenPrivilege = WdiServiceHost,*S-1-5-20,*S-1-5-19
SeChangeNotifyPrivilege = 0 WdiServiceHost,*S-1-5-32-554,*S-1-5-11,*S-1-5-32-544,*S-1-5-20,*S-1-5-19,*S-1-1-
Nota: La revisión no resuelve este problema automáticamente. Después de aplicar este hotfix, debe agregar manualmente "NT SERVICE\" directamente en el archivo GptTmpl.inf. Por ejemplo, debe reemplazar "WdiSystemHost" con "NT SERVICE\WdiSystemHost" utilizando el Editor de directivas de grupo Local.
Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
824684 descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de Microsoft
Información de archivo adicional para Windows Server 2008 R2 y Windows 7
Archivos adicionales para todas las versiones basadas en x86 compatibles de Windows 7
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Package_for_kb974639_rtm~31bf3856ad364e35~x86~~6.1.1.0.mum |
No aplicable |
1,947 |
15-Sep-2009 |
13:35 |
No aplicable |
|
X86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_38b0b74c535a2c7c.manifest |
No aplicable |
70,644 |
15-Sep-2009 |
06:32 |
No aplicable |
Archivos adicionales para todas las versiones compatibles basadas en Itanium de Windows Server 2008 R2
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Ia64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_38b25b4253583578.manifest |
No aplicable |
70,646 |
15-Sep-2009 |
06:53 |
No aplicable |
|
Package_for_kb974639_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mum |
No aplicable |
1,958 |
15-Sep-2009 |
13:35 |
No aplicable |
|
Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_9f23fd2240185fad.manifest |
No aplicable |
68,202 |
15-Sep-2009 |
06:16 |
No aplicable |
Archivos adicionales para todas las x64 basado en versiones compatibles de Windows Server 2008 R2 y Windows 7
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Amd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_94cf52d00bb79db2.manifest |
No aplicable |
70,648 |
15-Sep-2009 |
08:50 |
No aplicable |
|
Package_for_kb974639_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mum |
No aplicable |
2,879 |
15-Sep-2009 |
13:35 |
No aplicable |
|
Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_9f23fd2240185fad.manifest |
No aplicable |
68,202 |
15-Sep-2009 |
06:16 |
No aplicable |
