Los eventos SceCli 1202 se registran cuando se actualizan algunas configuraciones de directiva de grupo en Windows Server 2008 R2 y Windows 7


Síntomas


Imagine el siguiente escenario:
  • En un equipo que ejecuta Windows Server 2008 R2 o Windows 7, se utiliza el Editor de administración de directiva de grupo para administrar un objeto de directiva de grupo (GPO).
  • Se realizan algunos cambios en la configuración de Asignación de derechos de usuario en el GPO, y esta configuración tiene un SID de cada servicio definido.
  • Son exportar e importar una directiva que tiene la opción de asignación de derechos de usuario a través de la consola de administración de directivas de grupo (GPMC).
  • Está ejecutando Administración de cambio de directivas de grupo con administración avanzada de directivas de grupo (AGPM).
En este escenario, puede encontrar los siguientes problemas cuando se aplica el GPO resultante:
  • El registro de aplicación se añadirá el siguiente evento SceCli 1202:

  • Algunas aplicaciones y algunos servicios no se inician. Estas aplicaciones y estos servicios utilizan al SID de cada servicio para configurar algunas opciones de seguridad.
Los siguientes son algunos ejemplos de los problemas más específicos:

  • Algunos servicios no se pueden iniciar en un controlador de dominio que ejecuta Windows Server 2008 R2. Un ejemplo de un servicio que no se puede iniciar es el servicio Host de sistema de diagnóstico.
  • Algunos SQL Server funciona como la replicación no funciona cuando las funciones intentan realizar cambios de cuentas o cuando las funciones intentan realizar cambios en la configuración de permisos de carpeta.
  • Algunos de los servicios de Internet Information Server (IIS) 7.5 no funciona.

Causa


Cuando el Editor de administración de directiva de grupo cambia la configuración de Asignación de derechos de usuario, convierte los SID por servicio a los nombres de servicio. Por ejemplo, el nombre de servicio de "WdiServiceHost".



El Editor de administración de directiva de grupo no agrega el prefijo "Servicio NT" o "GrupoApl de IIS" en el nombre de servicio cuando se realiza la búsqueda en el dominio interno de "Servicio NT" o en el dominio interno de "GrupoApl de IIS". Cuando el Editor de administración de directiva de grupo vuelve a escribir el nombre analizado anteriormente en el archivo GptTmpl.inf, el Editor de administración de directiva de grupo intenta resolver el nombre de servicio para el dominio de Active Directory de forma predeterminada. Sin embargo, se produce un error en este intento. Además, se escribe la cadena el nombre del servicio en el archivo GptTmpl.inf en lugar del SID de cada servicio. Este comportamiento sustituye al SID de cada servicio con el nombre del servicio.



Cuando se produce la siguiente actualización de directiva, la actualización intenta resolver el nombre del servicio a un SID. Sin embargo, la actualización se supone que el nombre de servicio es una cuenta de grupo o de usuario. Por lo tanto, este comportamiento se produce un error y recibe el siguiente mensaje de error:
0 x 534 "ninguna asignación entre los nombres de cuenta y los identificadores de seguridad se ha efectuado"

Solución


Información de la revisión

Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplique esta revisión solamente a sistemas que experimenten el problema descripto en este artículo. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.

Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.

Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:Nota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.

Requisitos previos

Para aplicar esta revisión, el equipo debe ejecutar Windows 7 o Windows Server 2008 R2.

Instrucciones de instalación

La revisión no resuelve este problema automáticamente. Después de instalar este hotfix, manualmente debe agregar el prefijo correspondiente del servicio una vez. Para ello, utilice el procedimiento en la sección "Solución".

Requisito de reinicio

Debe reiniciar el equipo después de aplicar este hotfix.

Información de reemplazo de revisión

Esta revisión sustituye a una revisión lanzada anteriormente 974639

974639 eventos SceCli 1202 se registran cada vez que se actualice la configuración de directiva de grupo de equipo en un equipo que ejecuta Windows Server 2008 R2 o Windows 7

Información de archivo

La versión en inglés (Estados Unidos) de esta revisión instala archivos que tienen los atributos enumerados en las tablas siguientes. Las fechas y las horas de estos archivos se muestran en la hora Universal coordinada (UTC). Las fechas y las horas de estos archivos en el equipo local se muestran en horario local junto con la diferencia de horario de verano (DST) actual. Además, las fechas y las horas pueden cambiar cuando realiza determinadas operaciones en los archivos.
Notas sobre la información de archivos de Windows 7 y Windows Server 2008 R2
Importante: Correcciones urgentes de Windows 7 y Windows Server 2008 R2 se incluyen en los mismos paquetes. Sin embargo, las revisiones en la página solicitud de revisión se enumeran en ambos sistemas operativos. Para solicitar el paquete de revisiones que se aplica a uno o ambos sistemas operativos, seleccione la revisión que aparece bajo "Windows 7/Windows Server 2008 R2" en la página. Siempre consulte la sección "Aplicable a" de los artículos para determinar el sistema operativo real a la que se aplica cada revisión.
  • Los archivos MANIFEST (.manifest) y los MUM archivos (.mum) que se instalan para cada entorno están enumerados por separado en la sección "Información para Windows Server 2008 R2 y Windows 7 de archivo adicional". MUM y los archivos MANIFEST y los archivos de catálogo (.cat) de seguridad asociados, son extremadamente importantes para mantener el estado del componente actualizado. Los archivos de catálogo de seguridad, para los cuales no se muestran los atributos, están firmados con una firma digital de Microsoft.
Para todas las versiones basadas en x86 compatibles de Windows 7

Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Scecli.dll6.1.7600.20617175,61614-Jan-201007:37x86
Sceregvl.infNo aplicable14,96114-Jan-201003:59No aplicable
Secrecs.infNo aplicable9,16014-Jan-201003:59No aplicable
Para todas las versiones basadas en x64 de Windows 7 y Windows Server 2008 R2

Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Scecli.dll6.1.7600.20617232,96014-Jan-201008:15x64
Sceregvl.infNo aplicable14,96114-Jan-201004:19No aplicable
Secrecs.infNo aplicable9,16014-Jan-201004:19No aplicable
Scecli.dll6.1.7600.20617175,61614-Jan-201007:37x86
Para todas las versiones basadas en IA-64 compatibles de Windows Server 2008 R2

Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Scecli.dll6.1.7600.20617474,11214-Jan-201006:58IA-64
Sceregvl.infNo aplicable14,96114-Jan-201003:31No aplicable
Secrecs.infNo aplicable9,16014-Jan-201003:31No aplicable
Scecli.dll6.1.7600.20617175,61614-Jan-201007:37x86

Solución alternativa


Para evitar este problema, agregue el prefijo para las cuentas de servicio manualmente modificando el archivo GptTmpl.inf.
  • Para las identidades IIS, agregue el prefijo "IIS AppPool\". Los siguientes son algunos ejemplos de una identidad IIS:
    • DefaultAppPool
    • Classic .NET AppPool
  • Nombres de servicio para las ventanas y para los nombres de servicio de SQL Server, agregue el prefijo "Servicio NT". Los siguientes son algunos ejemplos de un nombre de servicio de Windows y de un nombre de servicio de SQL Server:
    • WdiServiceHost
    • MSSQLSERVER
    • MSSQLFDLauncher
Nota: Se recomienda que instale este hotfix para resolver este problema.

Estado


Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".

Más información


Este hotfix resuelve este problema para el prefijo "IIS AppPool\". Si abre el archivo GptTmpl.inf en la siguiente carpeta de directiva de grupo relacionada, encontrar algunos nombres de servicio en lugar de SID:
%SYSTEMROOT%\SYSVOL\ < NombreDominio > \Policies\ < identificador exclusivo > \Machine\Microsoft\Windows NT\SecEdit

El siguiente es un ejemplo de algunos nombres no resueltos de servicio que se encuentran en el archivo GptTmpl.inf:

[Privilege Rights] SeAssignPrimaryTokenPrivilege = WdiServiceHost,*S-1-5-20,*S-1-5-19,DefaultAppPool,Classic .NET AppPool,MSSQLSERVER,MSSQLFDLauncher
SeChangeNotifyPrivilege = WdiServiceHost,*S-1-5-32-554,*S-1-5-11,*S-1-5-32-544,*S-1-5-20,*S-1-5-19,*S-1-1- 0,MSSQLSERVER,MSSQLFDLauncher
SeAuditPrivilege = DefaultAppPool,*S-1-5-19,*S-1-5-20,Classic .NET AppPool

Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:

975566 eventos SceCli 1202 se registran cada vez que se actualice la configuración de directiva de grupo de equipo en un equipo que ejecuta Windows Server 2008 o Windows Vista

Para obtener más información acerca de la terminología de la actualización de software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

824684 descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de Microsoft

Información adicional de archivos

Información de archivo adicional para Windows 7 y Windows Server 2008 R2

Archivos adicionales para todas las versiones basadas en x86 compatibles de Windows 7

Nombre del archivoUpdate.mum
Versión del archivoNo aplicable
Tamaño de archivo1.674
Fecha (UTC)15-Jan-2010
Hora (UTC)00:05
PlataformaNo aplicable
Nombre del archivoX86_4b23d6171b29fe190f750dbfdff5a3c8_31bf3856ad364e35_6.1.7600.20617_none_c6c85e7ef28644ad.manifest
Versión del archivoNo aplicable
Tamaño de archivo733
Fecha (UTC)15-Jan-2010
Hora (UTC)00:05
PlataformaNo aplicable
Nombre del archivoX86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_38bb891e53520db2.manifest
Versión del archivoNo aplicable
Tamaño de archivo70,644
Fecha (UTC)14-Jan-2010
Hora (UTC)08:05
PlataformaNo aplicable
Archivos adicionales para todas las versiones basadas en x64 de Windows 7 y Windows Server 2008 R2

Nombre del archivoAmd64_8331c794b0ea1624f2d703935632f539_31bf3856ad364e35_6.1.7600.20617_none_6f4a74113706c5bf.manifest
Versión del archivoNo aplicable
Tamaño de archivo737
Fecha (UTC)15-Jan-2010
Hora (UTC)00:05
PlataformaNo aplicable
Nombre del archivoAmd64_a429a62f5dfe97d159700bc70cb9194b_31bf3856ad364e35_6.1.7600.20617_none_f8dbb49ab59a5dd2.manifest
Versión del archivoNo aplicable
Tamaño de archivo737
Fecha (UTC)15-Jan-2010
Hora (UTC)00:05
PlataformaNo aplicable
Nombre del archivoAmd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_94da24a20baf7ee8.manifest
Versión del archivoNo aplicable
Tamaño de archivo70,648
Fecha (UTC)14-Jan-2010
Hora (UTC)08:53
PlataformaNo aplicable
Nombre del archivoUpdate.mum
Versión del archivoNo aplicable
Tamaño de archivo2,328
Fecha (UTC)15-Jan-2010
Hora (UTC)00:05
PlataformaNo aplicable
Nombre del archivoWow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_9f2ecef4401040e3.manifest
Versión del archivoNo aplicable
Tamaño de archivo68,202
Fecha (UTC)14-Jan-2010
Hora (UTC)07:52
PlataformaNo aplicable
Archivos adicionales para todas las versiones basadas en IA-64 de Windows Server 2008 R2

Nombre del archivoIa64_318432fa0b83986063b79144bea75ebd_31bf3856ad364e35_6.1.7600.20617_none_5a784932fdc5c7f2.manifest
Versión del archivoNo aplicable
Tamaño de archivo735
Fecha (UTC)15-Jan-2010
Hora (UTC)00:05
PlataformaNo aplicable
Nombre del archivoIa64_a429a62f5dfe97d159700bc70cb9194b_31bf3856ad364e35_6.1.7600.20617_none_9cbebd0cfd3af598.manifest
Versión del archivoNo aplicable
Tamaño de archivo736
Fecha (UTC)15-Jan-2010
Hora (UTC)00:05
PlataformaNo aplicable
Nombre del archivoIa64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_38bd2d14535016ae.manifest
Versión del archivoNo aplicable
Tamaño de archivo70,646
Fecha (UTC)14-Jan-2010
Hora (UTC)08:33
PlataformaNo aplicable
Nombre del archivoUpdate.mum
Versión del archivoNo aplicable
Tamaño de archivo1,684
Fecha (UTC)15-Jan-2010
Hora (UTC)00:05
PlataformaNo aplicable
Nombre del archivoWow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_9f2ecef4401040e3.manifest
Versión del archivoNo aplicable
Tamaño de archivo68,202
Fecha (UTC)14-Jan-2010
Hora (UTC)07:52
PlataformaNo aplicable