Síntomas
Imagine el siguiente escenario:
- En un equipo que ejecuta Windows Server 2008 R2 o Windows 7, se utiliza el Editor de administración de directiva de grupo para administrar un objeto de directiva de grupo (GPO).
- Se realizan algunos cambios en la configuración de Asignación de derechos de usuario en el GPO, y esta configuración tiene un SID de cada servicio definido.
- Son exportar e importar una directiva que tiene la opción de asignación de derechos de usuario a través de la consola de administración de directivas de grupo (GPMC).
- Está ejecutando Administración de cambio de directivas de grupo con administración avanzada de directivas de grupo (AGPM).
- El registro de aplicación se añadirá el siguiente evento SceCli 1202:
- Algunas aplicaciones y algunos servicios no se inician. Estas aplicaciones y estos servicios utilizan al SID de cada servicio para configurar algunas opciones de seguridad.
- Algunos servicios no se pueden iniciar en un controlador de dominio que ejecuta Windows Server 2008 R2. Un ejemplo de un servicio que no se puede iniciar es el servicio Host de sistema de diagnóstico.
- Algunos SQL Server funciona como la replicación no funciona cuando las funciones intentan realizar cambios de cuentas o cuando las funciones intentan realizar cambios en la configuración de permisos de carpeta.
- Algunos de los servicios de Internet Information Server (IIS) 7.5 no funciona.
Causa
Cuando el Editor de administración de directiva de grupo cambia la configuración de Asignación de derechos de usuario, convierte los SID por servicio a los nombres de servicio. Por ejemplo, el nombre de servicio de "WdiServiceHost".
El Editor de administración de directiva de grupo no agrega el prefijo "Servicio NT" o "GrupoApl de IIS" en el nombre de servicio cuando se realiza la búsqueda en el dominio interno de "Servicio NT" o en el dominio interno de "GrupoApl de IIS". Cuando el Editor de administración de directiva de grupo vuelve a escribir el nombre analizado anteriormente en el archivo GptTmpl.inf, el Editor de administración de directiva de grupo intenta resolver el nombre de servicio para el dominio de Active Directory de forma predeterminada. Sin embargo, se produce un error en este intento. Además, se escribe la cadena el nombre del servicio en el archivo GptTmpl.inf en lugar del SID de cada servicio. Este comportamiento sustituye al SID de cada servicio con el nombre del servicio.
Cuando se produce la siguiente actualización de directiva, la actualización intenta resolver el nombre del servicio a un SID. Sin embargo, la actualización se supone que el nombre de servicio es una cuenta de grupo o de usuario. Por lo tanto, este comportamiento se produce un error y recibe el siguiente mensaje de error:
El Editor de administración de directiva de grupo no agrega el prefijo "Servicio NT" o "GrupoApl de IIS" en el nombre de servicio cuando se realiza la búsqueda en el dominio interno de "Servicio NT" o en el dominio interno de "GrupoApl de IIS". Cuando el Editor de administración de directiva de grupo vuelve a escribir el nombre analizado anteriormente en el archivo GptTmpl.inf, el Editor de administración de directiva de grupo intenta resolver el nombre de servicio para el dominio de Active Directory de forma predeterminada. Sin embargo, se produce un error en este intento. Además, se escribe la cadena el nombre del servicio en el archivo GptTmpl.inf en lugar del SID de cada servicio. Este comportamiento sustituye al SID de cada servicio con el nombre del servicio.
Cuando se produce la siguiente actualización de directiva, la actualización intenta resolver el nombre del servicio a un SID. Sin embargo, la actualización se supone que el nombre de servicio es una cuenta de grupo o de usuario. Por lo tanto, este comportamiento se produce un error y recibe el siguiente mensaje de error:
0 x 534 "ninguna asignación entre los nombres de cuenta y los identificadores de seguridad se ha efectuado"
Solución
Información de la revisión
Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplique esta revisión solamente a sistemas que experimenten el problema descripto en este artículo. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.
Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:Nota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.
Requisitos previos
Para aplicar esta revisión, el equipo debe ejecutar Windows 7 o Windows Server 2008 R2.Instrucciones de instalación
La revisión no resuelve este problema automáticamente. Después de instalar este hotfix, manualmente debe agregar el prefijo correspondiente del servicio una vez. Para ello, utilice el procedimiento en la sección "Solución".Requisito de reinicio
Debe reiniciar el equipo después de aplicar este hotfix.Información de reemplazo de revisión
Esta revisión sustituye a una revisión lanzada anteriormente 974639974639 eventos SceCli 1202 se registran cada vez que se actualice la configuración de directiva de grupo de equipo en un equipo que ejecuta Windows Server 2008 R2 o Windows 7
Información de archivo
La versión en inglés (Estados Unidos) de esta revisión instala archivos que tienen los atributos enumerados en las tablas siguientes. Las fechas y las horas de estos archivos se muestran en la hora Universal coordinada (UTC). Las fechas y las horas de estos archivos en el equipo local se muestran en horario local junto con la diferencia de horario de verano (DST) actual. Además, las fechas y las horas pueden cambiar cuando realiza determinadas operaciones en los archivos.Notas sobre la información de archivos de Windows 7 y Windows Server 2008 R2
Importante: Correcciones urgentes de Windows 7 y Windows Server 2008 R2 se incluyen en los mismos paquetes. Sin embargo, las revisiones en la página solicitud de revisión se enumeran en ambos sistemas operativos. Para solicitar el paquete de revisiones que se aplica a uno o ambos sistemas operativos, seleccione la revisión que aparece bajo "Windows 7/Windows Server 2008 R2" en la página. Siempre consulte la sección "Aplicable a" de los artículos para determinar el sistema operativo real a la que se aplica cada revisión.- Los archivos MANIFEST (.manifest) y los MUM archivos (.mum) que se instalan para cada entorno están enumerados por separado en la sección "Información para Windows Server 2008 R2 y Windows 7 de archivo adicional". MUM y los archivos MANIFEST y los archivos de catálogo (.cat) de seguridad asociados, son extremadamente importantes para mantener el estado del componente actualizado. Los archivos de catálogo de seguridad, para los cuales no se muestran los atributos, están firmados con una firma digital de Microsoft.
Para todas las versiones basadas en x86 compatibles de Windows 7
| Nombre del archivo | Versión del archivo | Tamaño de archivo | Fecha | Hora | Plataforma |
|---|---|---|---|---|---|
| Scecli.dll | 6.1.7600.20617 | 175,616 | 14-Jan-2010 | 07:37 | x86 |
| Sceregvl.inf | No aplicable | 14,961 | 14-Jan-2010 | 03:59 | No aplicable |
| Secrecs.inf | No aplicable | 9,160 | 14-Jan-2010 | 03:59 | No aplicable |
Para todas las versiones basadas en x64 de Windows 7 y Windows Server 2008 R2
| Nombre del archivo | Versión del archivo | Tamaño de archivo | Fecha | Hora | Plataforma |
|---|---|---|---|---|---|
| Scecli.dll | 6.1.7600.20617 | 232,960 | 14-Jan-2010 | 08:15 | x64 |
| Sceregvl.inf | No aplicable | 14,961 | 14-Jan-2010 | 04:19 | No aplicable |
| Secrecs.inf | No aplicable | 9,160 | 14-Jan-2010 | 04:19 | No aplicable |
| Scecli.dll | 6.1.7600.20617 | 175,616 | 14-Jan-2010 | 07:37 | x86 |
Para todas las versiones basadas en IA-64 compatibles de Windows Server 2008 R2
| Nombre del archivo | Versión del archivo | Tamaño de archivo | Fecha | Hora | Plataforma |
|---|---|---|---|---|---|
| Scecli.dll | 6.1.7600.20617 | 474,112 | 14-Jan-2010 | 06:58 | IA-64 |
| Sceregvl.inf | No aplicable | 14,961 | 14-Jan-2010 | 03:31 | No aplicable |
| Secrecs.inf | No aplicable | 9,160 | 14-Jan-2010 | 03:31 | No aplicable |
| Scecli.dll | 6.1.7600.20617 | 175,616 | 14-Jan-2010 | 07:37 | x86 |
Solución alternativa
Para evitar este problema, agregue el prefijo para las cuentas de servicio manualmente modificando el archivo GptTmpl.inf.
- Para las identidades IIS, agregue el prefijo "IIS AppPool\". Los siguientes son algunos ejemplos de una identidad IIS:
- DefaultAppPool
- Classic .NET AppPool
- Nombres de servicio para las ventanas y para los nombres de servicio de SQL Server, agregue el prefijo "Servicio NT". Los siguientes son algunos ejemplos de un nombre de servicio de Windows y de un nombre de servicio de SQL Server:
- WdiServiceHost
- MSSQLSERVER
- MSSQLFDLauncher
Estado
Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".
Más información
Este hotfix resuelve este problema para el prefijo "IIS AppPool\". Si abre el archivo GptTmpl.inf en la siguiente carpeta de directiva de grupo relacionada, encontrar algunos nombres de servicio en lugar de SID:
%SYSTEMROOT%\SYSVOL\ < NombreDominio > \Policies\ < identificador exclusivo > \Machine\Microsoft\Windows NT\SecEdit
El siguiente es un ejemplo de algunos nombres no resueltos de servicio que se encuentran en el archivo GptTmpl.inf:[Privilege Rights] SeAssignPrimaryTokenPrivilege = WdiServiceHost,*S-1-5-20,*S-1-5-19,DefaultAppPool,Classic .NET AppPool,MSSQLSERVER,MSSQLFDLauncherPara obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
SeChangeNotifyPrivilege = WdiServiceHost,*S-1-5-32-554,*S-1-5-11,*S-1-5-32-544,*S-1-5-20,*S-1-5-19,*S-1-1- 0,MSSQLSERVER,MSSQLFDLauncher
SeAuditPrivilege = DefaultAppPool,*S-1-5-19,*S-1-5-20,Classic .NET AppPool
975566 eventos SceCli 1202 se registran cada vez que se actualice la configuración de directiva de grupo de equipo en un equipo que ejecuta Windows Server 2008 o Windows Vista
Para obtener más información acerca de la terminología de la actualización de software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:824684 descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de Microsoft
Información adicional de archivos
Información de archivo adicional para Windows 7 y Windows Server 2008 R2
Archivos adicionales para todas las versiones basadas en x86 compatibles de Windows 7
| Nombre del archivo | Update.mum |
| Versión del archivo | No aplicable |
| Tamaño de archivo | 1.674 |
| Fecha (UTC) | 15-Jan-2010 |
| Hora (UTC) | 00:05 |
| Plataforma | No aplicable |
| Nombre del archivo | X86_4b23d6171b29fe190f750dbfdff5a3c8_31bf3856ad364e35_6.1.7600.20617_none_c6c85e7ef28644ad.manifest |
| Versión del archivo | No aplicable |
| Tamaño de archivo | 733 |
| Fecha (UTC) | 15-Jan-2010 |
| Hora (UTC) | 00:05 |
| Plataforma | No aplicable |
| Nombre del archivo | X86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_38bb891e53520db2.manifest |
| Versión del archivo | No aplicable |
| Tamaño de archivo | 70,644 |
| Fecha (UTC) | 14-Jan-2010 |
| Hora (UTC) | 08:05 |
| Plataforma | No aplicable |
Archivos adicionales para todas las versiones basadas en x64 de Windows 7 y Windows Server 2008 R2
| Nombre del archivo | Amd64_8331c794b0ea1624f2d703935632f539_31bf3856ad364e35_6.1.7600.20617_none_6f4a74113706c5bf.manifest |
| Versión del archivo | No aplicable |
| Tamaño de archivo | 737 |
| Fecha (UTC) | 15-Jan-2010 |
| Hora (UTC) | 00:05 |
| Plataforma | No aplicable |
| Nombre del archivo | Amd64_a429a62f5dfe97d159700bc70cb9194b_31bf3856ad364e35_6.1.7600.20617_none_f8dbb49ab59a5dd2.manifest |
| Versión del archivo | No aplicable |
| Tamaño de archivo | 737 |
| Fecha (UTC) | 15-Jan-2010 |
| Hora (UTC) | 00:05 |
| Plataforma | No aplicable |
| Nombre del archivo | Amd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_94da24a20baf7ee8.manifest |
| Versión del archivo | No aplicable |
| Tamaño de archivo | 70,648 |
| Fecha (UTC) | 14-Jan-2010 |
| Hora (UTC) | 08:53 |
| Plataforma | No aplicable |
| Nombre del archivo | Update.mum |
| Versión del archivo | No aplicable |
| Tamaño de archivo | 2,328 |
| Fecha (UTC) | 15-Jan-2010 |
| Hora (UTC) | 00:05 |
| Plataforma | No aplicable |
| Nombre del archivo | Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_9f2ecef4401040e3.manifest |
| Versión del archivo | No aplicable |
| Tamaño de archivo | 68,202 |
| Fecha (UTC) | 14-Jan-2010 |
| Hora (UTC) | 07:52 |
| Plataforma | No aplicable |
Archivos adicionales para todas las versiones basadas en IA-64 de Windows Server 2008 R2
| Nombre del archivo | Ia64_318432fa0b83986063b79144bea75ebd_31bf3856ad364e35_6.1.7600.20617_none_5a784932fdc5c7f2.manifest |
| Versión del archivo | No aplicable |
| Tamaño de archivo | 735 |
| Fecha (UTC) | 15-Jan-2010 |
| Hora (UTC) | 00:05 |
| Plataforma | No aplicable |
| Nombre del archivo | Ia64_a429a62f5dfe97d159700bc70cb9194b_31bf3856ad364e35_6.1.7600.20617_none_9cbebd0cfd3af598.manifest |
| Versión del archivo | No aplicable |
| Tamaño de archivo | 736 |
| Fecha (UTC) | 15-Jan-2010 |
| Hora (UTC) | 00:05 |
| Plataforma | No aplicable |
| Nombre del archivo | Ia64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_38bd2d14535016ae.manifest |
| Versión del archivo | No aplicable |
| Tamaño de archivo | 70,646 |
| Fecha (UTC) | 14-Jan-2010 |
| Hora (UTC) | 08:33 |
| Plataforma | No aplicable |
| Nombre del archivo | Update.mum |
| Versión del archivo | No aplicable |
| Tamaño de archivo | 1,684 |
| Fecha (UTC) | 15-Jan-2010 |
| Hora (UTC) | 00:05 |
| Plataforma | No aplicable |
| Nombre del archivo | Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_9f2ecef4401040e3.manifest |
| Versión del archivo | No aplicable |
| Tamaño de archivo | 68,202 |
| Fecha (UTC) | 14-Jan-2010 |
| Hora (UTC) | 07:52 |
| Plataforma | No aplicable |