Risolvere i problemi degli eventi SCECLI 1202

Questo articolo descrive i modi per risolvere e risolvere gli eventi SCECLI 1202.

Si applica a: Versioni supportate di Windows Server e Windows Client
Numero KB originale: 324383

Riepilogo

Il primo passaggio per la risoluzione di questi eventi consiste nell'identificare il codice di errore Win32. Questo codice di errore distingue il tipo di errore che causa l'evento SCECLI 1202. Di seguito è riportato un esempio di evento SCECLI 1202. Il codice di errore viene visualizzato nel campo Descrizione . In questo esempio il codice di errore viene 0x534. Il testo dopo il codice di errore è la descrizione dell'errore. Dopo aver determinato il codice di errore, trovare la sezione relativa al codice di errore in questo articolo e quindi seguire la procedura di risoluzione dei problemi descritta in tale sezione.

0x534: non è stato eseguito alcun mapping tra nomi di account e ID di sicurezza.

o

0x6fc: la relazione di trust tra il dominio primario e il dominio attendibile non è riuscita.

Codice di errore 0x534: non è stato eseguito alcun mapping tra nomi di account e ID di sicurezza

Questi codici di errore indicano che non è stato possibile risolvere un account di sicurezza in un identificatore di sicurezza (SID). L'errore si verifica in genere perché il nome di un account non è stato digitato in modo corretto o perché l'account è stato eliminato dopo l'aggiunta all'impostazione dei criteri di sicurezza. Si verifica in genere nella sezione Diritti utente o nella sezione Restricted Gruppi dell'impostazione dei criteri di sicurezza. Può verificarsi anche se l'account esiste in un trust e quindi la relazione di trust viene interrotta.

Per risolvere il problema, procedere come segue:

1. Determinare l'account che causa l'errore. A tale scopo, abilitare la registrazione di debug per l'estensione lato client configurazione di sicurezza:

   1. Avviare l'editor del Registro di sistema

   2. Individuare e selezionare la sottochiave seguente del Registro di sistema:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

   3. Nel menu Modifica selezionare Aggiungi valore e quindi aggiungere il valore del Registro di sistema seguente:

      • Nome valore: ExtensionDebugLevel
      • Tipo valore: DWORD
      • Dati valore: 2

   4. Uscire dall'editor del Registro di sistema.

2. Aggiornare le impostazioni dei criteri per riprodurre l'errore. Per aggiornare le impostazioni dei criteri, digitare il comando seguente al prompt dei comandi e quindi premere INVIO:

   gpupdate /target:computer /force
   

   Questo comando crea un file denominato Winlogon.log nella %SYSTEMROOT%\Security\Logs cartella .

3. Trovare l'account del problema. A tale scopo, digitare il comando seguente al prompt dei comandi e quindi premere INVIO:

   find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
   

   L'output Find identifica i nomi degli account di problema, ad esempio Impossibile trovare MichaelPeltier. In questo esempio l'account utente MichaelPeltier non esiste nel dominio. Oppure ha un'ortografia diversa, ad esempio MichellePeltier.

   Determinare perché l'account non può essere risolto. Ad esempio, cercare errori tipografici, un account eliminato, i criteri errati che si applicano a questo computer o un problema di attendibilità.

4. Se si determina che l'account deve essere rimosso dai criteri, individuare i criteri di problema e l'impostazione del problema. Per determinare quale impostazione contiene l'account non risolto, digitare il comando seguente al prompt dei comandi nel computer che produce l'evento SCECLI 1202 e quindi premere INVIO:

   c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*
   

   Per questo esempio, la sintassi e i risultati sono:

   c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
   SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelPeltier,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
   

   Identifica GPT00002.inf come modello di sicurezza memorizzato nella cache dal problema Criteri di gruppo oggetto (GPO) che contiene l'impostazione del problema. Identifica anche l'impostazione del problema come SeInteractiveLogonRight. Il nome visualizzato per SeInteractiveLogonRight è Accesso in locale.

   Per una mappa delle costanti (ad esempio, SeInteractiveLogonRight) ai relativi nomi visualizzati (ad esempio, Accesso in locale), vedere Assegnazione dei diritti utente.

5. Determinare quale oggetto Criteri di gruppo contiene l'impostazione del problema. Search il modello di sicurezza memorizzato nella cache identificato nel passaggio 4 per il testo GPOPath=. In questo esempio viene visualizzato quanto segue:

   GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

   {6AC1786C-016F-11D2-945F-00C04FB984F9} è il GUID dell'oggetto Criteri di gruppo.

6. Per trovare il nome descrittivo dell'oggetto Criteri di gruppo, usare il cmdlet di PowerShell Get-GPO -Guid in un controller di dominio (DC) o in un server con gli strumenti RSAT (Remote Server Administrator Tools) di Active Directory (AD) installati.

   Il nome descrittivo dell'oggetto Criteri di gruppo viene visualizzato accanto al DisplayName campo:

   Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9
   DisplayName : Default Domain Controllers Policy
   DomainName : contoso.com
   Owner : CONTOSO\Domain Admins
   

A questo punto sono stati identificati l'account del problema, l'impostazione del problema e l'oggetto Criteri di gruppo del problema. Per risolvere il problema, rimuovere o sostituire la voce del problema.

Codice di errore 0x2: il sistema non riesce a trovare il file specificato

Questo errore è simile a 0x534 e a 0x6fc. È causato da un nome di account irresolvibile. Quando si verifica l'errore 0x2, in genere indica che il nome dell'account irresolvibile è specificato in un'impostazione di criteri Con restrizioni Gruppi.

Per risolvere il problema, procedere come segue:

1. Determinare il servizio o l'oggetto in cui si è verificato l'errore. A tale scopo, abilitare la registrazione di debug per l'estensione lato client configurazione di sicurezza:

   1. Avviare l'editor del Registro di sistema

   2. Individuare e selezionare la sottochiave seguente del Registro di sistema:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

   3. Nel menu Modifica selezionare Aggiungi valore e quindi aggiungere il valore del Registro di sistema seguente:

      • Nome valore: ExtensionDebugLevel
      • Tipo valore: DWORD
      • Dati valore: 2

   4. Uscire dall'editor del Registro di sistema.

2. Aggiornare le impostazioni dei criteri per riprodurre l'errore. Per aggiornare le impostazioni dei criteri, digitare il comando seguente al prompt dei comandi e quindi premere INVIO:

   gpupdate /target:computer /force
   

   Questo comando crea un file denominato Winlogon.log nella %SYSTEMROOT%\Security\Logs cartella .

3. Al prompt dei comandi digitare il comando seguente e quindi premere INVIO:

   find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
   

   L'output Find identifica i nomi degli account di problema, ad esempio Impossibile trovare MichaelPeltier. In questo esempio l'account utente MichaelPeltier non esiste nel dominio. Oppure ha un'ortografia diversa, ad esempio MichellePeltier.

   Determinare perché l'account non può essere risolto. Ad esempio, cercare errori tipografici, un account eliminato, i criteri errati applicati al computer o un problema di attendibilità.

4. Se si determina che l'account deve essere rimosso dai criteri, individuare i criteri di problema e l'impostazione del problema. Per trovare l'impostazione contenente l'account non risolto, digitare il comando seguente al prompt dei comandi nel computer che produce l'evento SCECLI 1202 e quindi premere INVIO:

   c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*
   

   Per questo esempio, la sintassi e i risultati sono:

   c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
   SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
   

   Identifica GPT00002.inf come modello di sicurezza memorizzato nella cache dall'oggetto Criteri di gruppo del problema che contiene l'impostazione del problema. Identifica anche l'impostazione del problema come SeInteractiveLogonRight. Il nome visualizzato per SeInteractiveLogonRight è Accesso in locale.

   Per una mappa delle costanti (ad esempio, SeInteractiveLogonRight) ai relativi nomi visualizzati (ad esempio, Accesso in locale), vedere Assegnazione dei diritti utente.

5. Determinare quale oggetto Criteri di gruppo contiene l'impostazione del problema. Search il modello di sicurezza memorizzato nella cache identificato nel passaggio 4 per il testo GPOPath=. In questo esempio viene visualizzato quanto segue:

   GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

   {6AC1786C-016F-11D2-945F-00C04FB984F9} è il GUID dell'oggetto Criteri di gruppo.

6. Per trovare il nome descrittivo dell'oggetto Criteri di gruppo, usare il cmdlet di PowerShell Get-GPO -Guid in un controller di dominio o in un server con gli strumenti di Active Directory RSAT installati.

   Il nome descrittivo dell'oggetto Criteri di gruppo viene visualizzato accanto al DisplayName campo:

   Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9
   DisplayName : Default Domain Controllers Policy
   DomainName : contoso.com
   Owner : CONTOSO\Domain Admins
   

A questo punto sono stati identificati l'account del problema, l'impostazione del problema e l'oggetto Criteri di gruppo del problema. Per risolvere il problema, cercare nella sezione Restricted Gruppi dei criteri di sicurezza le istanze dell'account problema (in questo esempio, MichaelPeltier) e quindi rimuovere o sostituire la voce del problema.

Codice di errore 0x5: Accesso negato

Questo errore si verifica in genere quando al sistema non sono state concesse le autorizzazioni corrette per aggiornare l'elenco di controllo di accesso di un servizio. Può verificarsi se l'amministratore definisce le autorizzazioni per un servizio in un criterio, ma non concede le autorizzazioni controllo completo dell'account di sistema.

Per risolvere il problema, procedere come segue:

1. Determinare il servizio o l'oggetto in cui si è verificato l'errore. A tale scopo, abilitare la registrazione di debug per l'estensione lato client configurazione di sicurezza:

   1. Avviare l'editor del Registro di sistema

   2. Individuare e selezionare la sottochiave seguente del Registro di sistema:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

   3. Nel menu Modifica selezionare Aggiungi valore e quindi aggiungere il valore del Registro di sistema seguente:

      • Nome valore: ExtensionDebugLevel
      • Tipo valore: DWORD
      • Dati valore: 2

   4. Uscire dall'editor del Registro di sistema.

2. Aggiornare le impostazioni dei criteri per riprodurre l'errore. Per aggiornare le impostazioni dei criteri, digitare il comando seguente al prompt dei comandi e quindi premere INVIO:

   gpupdate /target:computer /force
   

   Questo comando crea un file denominato Winlogon.log nella %SYSTEMROOT%\Security\Logs cartella .

3. Al prompt dei comandi digitare quanto segue e quindi premere INVIO:

   find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.log
   

   L'output find identifica il servizio con le autorizzazioni non configurate correttamente, ad esempio Errore durante l'apertura di Dnscache. Dnscache è il nome breve per il servizio client DNS.

4. Individuare i criteri o i criteri che tentano di modificare le autorizzazioni del servizio. A tale scopo, digitare il comando seguente al prompt dei comandi e quindi premere INVIO:

   find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*
   

   Di seguito è riportato un comando di esempio e il relativo output:

   d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.*
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
   Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)"
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
   

5. Determinare quale oggetto Criteri di gruppo contiene l'impostazione del problema. Search il modello di sicurezza memorizzato nella cache identificato nel passaggio 4 per il testo GPOPath=. In questo esempio viene visualizzato quanto segue:

   GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

   {6AC1786C-016F-11D2-945F-00C04FB984F9} è il GUID dell'oggetto Criteri di gruppo.

6. Per trovare il nome descrittivo dell'oggetto Criteri di gruppo, usare il cmdlet di PowerShell Get-GPO -Guid in un controller di dominio o in un server con gli strumenti di Active Directory RSAT installati.

   Il nome descrittivo dell'oggetto Criteri di gruppo viene visualizzato accanto al DisplayName campo:

    Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9
    DisplayName : Default Domain Controllers Policy
    DomainName : contoso.com
    Owner : CONTOSO\Domain Admins
   

A questo punto è stato identificato il servizio con le autorizzazioni non configurate correttamente e l'oggetto Criteri di gruppo problema. Per risolvere il problema, cercare le istanze del servizio con le autorizzazioni non configurate correttamente nella sezione Servizi di sistema dei criteri di sicurezza. E quindi intraprendere un'azione correttiva per concedere le autorizzazioni controllo completo dell'account di sistema al servizio.

Codice di errore 0x4b8: si è verificato un errore esteso

L'errore 0x4b8 è generico e può essere causato da molti problemi diversi. Per risolvere questi errori, seguire questa procedura:

1. Abilitare la registrazione di debug per l'estensione lato client configurazione di sicurezza:

   1. Avviare l'editor del Registro di sistema

   2. Individuare e selezionare la sottochiave seguente del Registro di sistema:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

   3. Nel menu Modifica selezionare Aggiungi valore e quindi aggiungere il valore del Registro di sistema seguente:

      • Nome valore: ExtensionDebugLevel
      • Tipo valore: DWORD
      • Dati valore: 2

   4. Uscire dall'editor del Registro di sistema.

2. Aggiornare le impostazioni dei criteri per riprodurre l'errore. Per aggiornare le impostazioni dei criteri, digitare il comando seguente al prompt dei comandi e quindi premere INVIO:

   gpupdate /target:computer /force
   

   Questo comando crea un file denominato Winlogon.log nella %SYSTEMROOT%\Security\Logs cartella .

3. Vedere Gli ID evento ESENT 1000, 1202, 412 e 454 vengono registrati ripetutamente nel registro applicazioni. Questo articolo descrive i problemi noti che causano l'errore 0x4b8.

Raccolta dei dati

Se è necessaria assistenza da parte del supporto tecnico Microsoft, è consigliabile raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni usando TSS per i problemi di Criteri di gruppo.