Les événements SceCli 1202 sont enregistrés lors de l’actualisation des paramètres de stratégie de groupe dans Windows Server 2008 R2 et Windows 7


Symptômes


Considérez le scénario suivant :
  • Sur un ordinateur qui exécute Windows Server 2008 R2 ou Windows 7, vous utilisez l’éditeur de gestion de stratégie de groupe pour gérer un objet de stratégie de groupe (GPO).
  • Certaines modifications sont apportées aux paramètres d’Attribution des droits utilisateur dans l’objet stratégie de groupe, et que ces paramètres ont un SID par service défini.
  • Vous êtes exportation et importation d’une stratégie avec paramètre attribution de droits utilisateur par le biais de la Console de gestion des stratégies de groupe (GPMC).
  • Gestion de modification de stratégie de groupe à l’aide de la gestion de stratégie de groupe avancée (AGPM) sont en cours d’exécution.
Dans ce scénario, vous pouvez rencontrer les problèmes suivants lorsque l’objet de stratégie de groupe qui en résulte est appliqué :
  • L’événement SceCli 1202 suivant est ajouté au journal des applications :

  • Certaines applications et certains services ne démarrent pas. Ces applications et ces services utilisent le SID par service pour configurer certains paramètres de sécurité.
Voici quelques exemples plus spécifiques des problèmes :

  • Certains services ne peut pas démarrer sur un contrôleur de domaine qui exécute Windows Server 2008 R2. Un exemple de service qui ne peut pas démarrer est le service hôte système de Diagnostics.
  • Certains SQL Server fonctionne comme les fonctions de réplication ne fonctionnent pas lorsque vous essayez d’effectuer des modifications de compte les fonctions, ou lorsque les fonctions essayez d’effectuer des modifications dans les paramètres d’autorisation de dossier.
  • Certaines fonctions dans Internet Information Services (IIS) 7.5 ne fonctionnent pas.

Cause


Lorsque l’éditeur de gestion de stratégie de groupe modifie les paramètres sous Attribution des droits utilisateur, il convertit les SID par service pour les noms de service. Par exemple, le nom du service « WdiServiceHost ».



L’éditeur de gestion de stratégie de groupe n’ajoute pas le préfixe « NT Service » ou « Pool d’applications IIS » pour le nom de service lorsqu’il effectue la recherche dans le domaine interne de « Service NT » ou « Pool d’applications IIS » domaine interne. Lorsque l’éditeur de gestion de stratégie de groupe réécrit le nom précédemment analysé dans le fichier GptTmpl.inf, l’éditeur de gestion de stratégie de groupe tente de résoudre le nom de service par rapport au domaine d’Active Directory par défaut. Cependant, cette tentative échoue. En outre, la chaîne du nom du service est écrite dans le fichier GptTmpl.inf plutôt que le SID de service par service. Cela remplace le SID par service avec le nom du service.



Lors de la prochaine mise à jour de la stratégie se produit, la mise à jour tente de résoudre le nom du service à un SID. Toutefois, la mise à jour suppose que le nom du service est un compte d’utilisateur ou groupe. Par conséquent, ce comportement échoue et vous recevez le message d’erreur suivant :
0 x 534 « aucun mappage entre les noms de compte et les ID de sécurité a été terminé »

Résolution


Informations sur le correctif

Un correctif pris en charge est disponible auprès de Microsoft. Toutefois, ce correctif vise à corriger uniquement le problème décrit dans cet article. Appliquez ce correctif uniquement aux systèmes qui rencontrent le problème décrit dans cet article. Ce correctif va peut-être subir des tests supplémentaires. Par conséquent, si vous n'êtes pas sérieusement concerné par ce problème, nous vous recommandons d'attendre la prochaine mise à jour logicielle qui contiendra ce correctif.

Si le correctif est disponible pour le téléchargement, il existe une section « Téléchargement de correctif logiciel disponible » au début de cet article de la Base de connaissances. Si cette section n'apparaît pas, contactez le Service clientèle et Support de Microsoft pour obtenir le correctif.

Remarque Si des problèmes supplémentaires se produisent ou si des procédures de dépannage sont nécessaires, vous devrez peut-être formuler une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux questions et problèmes qui ne relèvent pas de ce correctif logiciel. Pour une liste complète des numéros de téléphone du Service clientèle et support technique de Microsoft ou pour créer une demande de service distincte, visitez le site Web de Microsoft à l'adresse suivante :Remarque Le formulaire « Téléchargement de correctif logiciel disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas votre langue, c'est parce qu'il n'y a pas de correctif disponible pour cette langue.

Conditions préalables

Pour appliquer ce correctif logiciel, votre ordinateur doit exécuter Windows 7 ou Windows Server 2008 R2.

Instructions d’installation

Le correctif logiciel ne résout pas ce problème automatiquement. Après avoir installé ce correctif, vous devez manuellement ajouter le préfixe de service correspondant une fois. Pour ce faire, utilisez la procédure dans la section « Contournement ».

Nécessite un redémarrage

Vous devez redémarrer l'ordinateur après avoir appliqué ce correctif.

Informations de remplacement du correctif

Ce correctif remplace aucun correctif publié précédemment 974639

974639 des événements SceCli 1202 sont enregistrés chaque fois que les paramètres de stratégie de groupe ordinateur sont actualisés sur un ordinateur qui exécute Windows Server 2008 R2 ou Windows 7

Informations sur les fichiers

La version anglaise (États-Unis) de ce correctif logiciel installe des fichiers dont les attributs sont répertoriés dans les tableaux ci-dessous. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Les dates et heures de ces fichiers sur votre ordinateur local sont affichées dans votre heure locale en tenant compte de l'heure d'été (DST). En outre, les dates et heures peuvent changer lorsque vous effectuez certaines opérations sur les fichiers.
Remarques sur les fichiers Windows 7 et Windows Server 2008 R2
Important Les correctifs logiciels Windows 7 et Windows Server 2008 R2 sont inclus dans les mêmes packages. Toutefois, les correctifs dans la page de demande de correctif logiciel sont répertoriés sous les deux systèmes d’exploitation. Pour demander le package de correctif qui s’applique à un ou deux systèmes d’exploitation, sélectionnez le correctif logiciel qui est répertorié sous « Windows 7/Windows Server 2008 R2 » sur la page. Reportez-vous toujours à la section « S’applique à » dans les articles pour déterminer le système d’exploitation actif auquel s’applique chaque correctif.
  • Les fichiers MANIFEST (.manifest) et MUM (.mum) qui sont installés pour chaque environnement sont répertoriés séparément dans la section « informations sur les fichiers supplémentaires pour Windows Server 2008 R2 et Windows 7 ». Les fichiers MUM et MANIFEST et les fichiers de catalogue sécurité associées (.cat), sont extrêmement importants pour conserver l'état du composant mis à jour. Les fichiers de catalogue de sécurité, pour lesquels les attributs ne sont pas répertoriés, sont signés avec une signature numérique Microsoft.
Pour toutes les versions x86 de Windows 7 prises en charge

Nom de fichierVersion de fichierTaille du fichierDateHeurePlateforme
Scecli.dll6.1.7600.20617175,61614-Jan-201007:37x86
Sceregvl.infNe s'applique pas14,96114-Jan-201003:59Ne s'applique pas
Secrecs.infNe s'applique pas9,16014-Jan-201003:59Ne s'applique pas
Pour toutes les versions 64 bits de Windows 7 et Windows Server 2008 R2

Nom de fichierVersion de fichierTaille du fichierDateHeurePlateforme
Scecli.dll6.1.7600.20617232,96014-Jan-201008:15x64
Sceregvl.infNe s'applique pas14,96114-Jan-201004:19Ne s'applique pas
Secrecs.infNe s'applique pas9,16014-Jan-201004:19Ne s'applique pas
Scecli.dll6.1.7600.20617175,61614-Jan-201007:37x86
Pour toutes les versions IA-64 prises en charge de Windows Server 2008 R2

Nom de fichierVersion de fichierTaille du fichierDateHeurePlateforme
Scecli.dll6.1.7600.20617474,11214-Jan-201006:58IA-64
Sceregvl.infNe s'applique pas14,96114-Jan-201003:31Ne s'applique pas
Secrecs.infNe s'applique pas9,16014-Jan-201003:31Ne s'applique pas
Scecli.dll6.1.7600.20617175,61614-Jan-201007:37x86

Solution de contournement


Pour contourner ce problème, ajoutez le préfixe pour les comptes de service manuellement en modifiant le fichier GptTmpl.inf.
  • Pour les identités d’IIS, ajoutez le préfixe « IIS AppPool\ ». Certains exemples d’une identité IIS sont les suivantes :
    • DefaultAppPool
    • Classic .NET AppPool
  • Pour les fenêtres des noms de service et pour les noms de service de SQL Server, ajoutez le préfixe « NT service ». Certains exemples d’un nom de service Windows et d’un nom de service de SQL Server sont les suivantes :
    • WdiServiceHost
    • MSSQLSERVER
    • MSSQLFDLauncher
Remarque Nous vous conseillons d’installer ce correctif pour résoudre ce problème.

État


Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section « S'applique à ».

Plus d'informations


Ce correctif résout ce problème pour le préfixe « AppPool\ IIS ». Si vous ouvrez le fichier GptTmpl.inf dans le dossier suivant de stratégie de groupe lié, vous recherchez certains noms de service au lieu de SID :
%SystemRoot%\SYSVOL\ < nom_domaine > \Policies\ < ID Unique > \Machine\Microsoft\Windows NT\SecEdit

Voici un exemple de certains noms de service non résolus qui se trouvent dans le fichier GptTmpl.inf :

[Privilege Rights] SeAssignPrimaryTokenPrivilege = WdiServiceHost,*S-1-5-20,*S-1-5-19,DefaultAppPool,Classic .NET AppPool,MSSQLSERVER,MSSQLFDLauncher
SeChangeNotifyPrivilege = WdiServiceHost,*S-1-5-32-554,*S-1-5-11,*S-1-5-32-544,*S-1-5-20,*S-1-5-19,*S-1-1- 0,MSSQLSERVER,MSSQLFDLauncher
SeAuditPrivilege = DefaultAppPool,*S-1-5-19,*S-1-5-20,Classic .NET AppPool

Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

975566 des événements SceCli 1202 sont enregistrés chaque fois que les paramètres de stratégie de groupe ordinateur sont actualisés sur un ordinateur qui exécute Windows Server 2008 ou Windows Vista

Pour plus d'informations sur la terminologie de mise à jour logicielle, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

Description 824684 terminologie standard utilisée pour décrire les mises à jour logicielles de Microsoft

Informations sur les fichiers supplémentaires

Informations sur les fichiers supplémentaires pour Windows 7 et Windows Server 2008 R2

Fichiers supplémentaires pour toutes les versions x86 prises en charge de Windows 7

Nom de fichierUpdate.mum
Version de fichierNe s'applique pas
Taille du fichier1,674
Date (UTC)15-Jan-2010
Heure (UTC)00:05
PlateformeNe s'applique pas
Nom de fichierX86_4b23d6171b29fe190f750dbfdff5a3c8_31bf3856ad364e35_6.1.7600.20617_none_c6c85e7ef28644ad.manifest
Version de fichierNe s'applique pas
Taille du fichier733
Date (UTC)15-Jan-2010
Heure (UTC)00:05
PlateformeNe s'applique pas
Nom de fichierX86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_38bb891e53520db2.manifest
Version de fichierNe s'applique pas
Taille du fichier70,644
Date (UTC)14-Jan-2010
Heure (UTC)08:05
PlateformeNe s'applique pas
Fichiers supplémentaires pour toutes les versions 64 bits prises en charge de Windows 7 et Windows Server 2008 R2

Nom de fichierAmd64_8331c794b0ea1624f2d703935632f539_31bf3856ad364e35_6.1.7600.20617_none_6f4a74113706c5bf.manifest
Version de fichierNe s'applique pas
Taille du fichier737
Date (UTC)15-Jan-2010
Heure (UTC)00:05
PlateformeNe s'applique pas
Nom de fichierAmd64_a429a62f5dfe97d159700bc70cb9194b_31bf3856ad364e35_6.1.7600.20617_none_f8dbb49ab59a5dd2.manifest
Version de fichierNe s'applique pas
Taille du fichier737
Date (UTC)15-Jan-2010
Heure (UTC)00:05
PlateformeNe s'applique pas
Nom de fichierAmd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_94da24a20baf7ee8.manifest
Version de fichierNe s'applique pas
Taille du fichier70,648
Date (UTC)14-Jan-2010
Heure (UTC)08:53
PlateformeNe s'applique pas
Nom de fichierUpdate.mum
Version de fichierNe s'applique pas
Taille du fichier2,328
Date (UTC)15-Jan-2010
Heure (UTC)00:05
PlateformeNe s'applique pas
Nom de fichierWow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_9f2ecef4401040e3.manifest
Version de fichierNe s'applique pas
Taille du fichier68,202
Date (UTC)14-Jan-2010
Heure (UTC)07:52
PlateformeNe s'applique pas
Fichiers supplémentaires pour toutes les versions de Windows Server 2008 R2 basées sur IA-64 prises en charge

Nom de fichierIa64_318432fa0b83986063b79144bea75ebd_31bf3856ad364e35_6.1.7600.20617_none_5a784932fdc5c7f2.manifest
Version de fichierNe s'applique pas
Taille du fichier735
Date (UTC)15-Jan-2010
Heure (UTC)00:05
PlateformeNe s'applique pas
Nom de fichierIa64_a429a62f5dfe97d159700bc70cb9194b_31bf3856ad364e35_6.1.7600.20617_none_9cbebd0cfd3af598.manifest
Version de fichierNe s'applique pas
Taille du fichier736
Date (UTC)15-Jan-2010
Heure (UTC)00:05
PlateformeNe s'applique pas
Nom de fichierIa64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_38bd2d14535016ae.manifest
Version de fichierNe s'applique pas
Taille du fichier70,646
Date (UTC)14-Jan-2010
Heure (UTC)08:33
PlateformeNe s'applique pas
Nom de fichierUpdate.mum
Version de fichierNe s'applique pas
Taille du fichier1,684
Date (UTC)15-Jan-2010
Heure (UTC)00:05
PlateformeNe s'applique pas
Nom de fichierWow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_9f2ecef4401040e3.manifest
Version de fichierNe s'applique pas
Taille du fichier68,202
Date (UTC)14-Jan-2010
Heure (UTC)07:52
PlateformeNe s'applique pas