Résoudre les problèmes liés aux événements SCECLI 1202
Cet article décrit comment résoudre les problèmes et résoudre les événements SCECLI 1202.
S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 324383
Résumé
La première étape de la résolution de ces événements consiste à identifier le code d’erreur Win32. Ce code d’erreur distingue le type d’échec qui provoque l’événement SCECLI 1202. Voici un exemple d’événement SCECLI 1202. Le code d’erreur s’affiche dans le champ Description . Dans cet exemple, le code d’erreur est 0x534. Le texte après le code d’erreur est la description de l’erreur. Après avoir déterminé le code d’erreur, recherchez cette section code d’erreur dans cet article, puis suivez les étapes de résolution des problèmes décrites dans cette section.
0x534 : aucun mappage entre les noms de compte et les ID de sécurité n’a été effectué.
ou
0x6fc : la relation d’approbation entre le domaine principal et le domaine approuvé a échoué.
Code d’erreur 0x534 : Aucun mappage entre les noms de compte et les ID de sécurité n’a été effectué
Ces codes d’erreur signifient qu’il n’y a pas eu d’échec de la résolution d’un compte de sécurité en identificateur de sécurité (SID). L’erreur se produit généralement soit parce qu’un nom de compte a été mal typé, soit parce que le compte a été supprimé après avoir été ajouté au paramètre de stratégie de sécurité. Cela se produit généralement dans la section Droits de l’utilisateur ou la section Groupes restreints du paramètre de stratégie de sécurité. Cela peut également se produire si le compte existe dans une approbation et que la relation d’approbation est rompue.
Pour résoudre ce problème, procédez comme suit :
Déterminez le compte à l’origine de l’échec. Pour ce faire, activez la journalisation du débogage pour l’extension côté client security Configuration :
Démarrez l’Éditeur du Registre.
Recherchez puis sélectionnez la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}Dans le menu Modifier , sélectionnez Ajouter une valeur, puis ajoutez la valeur de Registre suivante :
- Nom de la valeur : ExtensionDebugLevel
- Type de données : DWORD
- Données de valeur : 2
Fermez l’Éditeur du Registre.
Actualisez les paramètres de stratégie pour reproduire l’échec. Pour actualiser les paramètres de stratégie, tapez la commande suivante à l’invite de commandes, puis appuyez sur Entrée :
secedit /refreshpolicy machine_policy /enforceCette commande crée un fichier nommé Winlogon.log dans le
%SYSTEMROOT%\Security\Logsdossier .Recherchez le compte qui pose problème. Pour ce faire, tapez la commande suivante à l’invite de commandes, puis appuyez sur Entrée :
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.logLa sortie Rechercher identifie les noms de comptes problématiques, par exemple , Impossible de trouver MichaelPeltier. Dans cet exemple, le compte d’utilisateur MichaelPeltier n’existe pas dans le domaine. Ou il a une orthographe différente, comme MichellePeltier.
Déterminez pourquoi ce compte ne peut pas être résolu. Par exemple, recherchez les erreurs typographiques, un compte supprimé, la stratégie incorrecte qui s’applique à cet ordinateur ou un problème d’approbation.
Si vous déterminez que le compte doit être supprimé de la stratégie, recherchez la stratégie de problème et le paramètre du problème. Pour déterminer quel paramètre contient le compte non résolu, tapez la commande suivante à l’invite de commandes sur l’ordinateur qui produit l’événement SCECLI 1202, puis appuyez sur Entrée :
c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*Pour cet exemple, la syntaxe et les résultats sont les suivants :
c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelPeltier,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMIl identifie GPT00002.inf comme modèle de sécurité mis en cache à partir de l’objet de stratégie de groupe de problème (GPO) qui contient le paramètre du problème. Il identifie également le paramètre du problème se nomment SeInteractiveLogonRight. Le nom d’affichage de SeInteractiveLogonRight est Ouverture de session localement.
Pour obtenir une correspondance des constantes (par exemple, SeInteractiveLogonRight) à leurs noms d’affichage (par exemple, Ouverture de session localement), consultez le Guide des systèmes distribués du Kit de ressources Microsoft Windows 2000 Server. La carte se trouve dans la section Droits de l’utilisateur de l’annexe.
Déterminez l’objet de stratégie de groupe qui contient le paramètre du problème. Recherchez le texte dans le modèle
GPOPath=de sécurité mis en cache que vous avez identifié à l’étape 4. Dans cet exemple, vous verrez :GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04FB984F9} est le GUID de l’objet de stratégie de groupe.
Pour trouver le nom convivial de l’objet de stratégie de groupe, utilisez l’utilitaire Kit de ressources Gpotool.exe. Tapez la commande suivante à l’invite de commandes, puis appuyez sur Entrée :
gpotool /verboseRecherchez dans la sortie le GUID que vous avez identifié à l’étape 5. Les quatre lignes qui suivent le GUID contiennent le nom convivial de la stratégie. Par exemple :
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Default Domain Controllers Policy
Vous avez maintenant identifié le compte du problème, le paramètre du problème et l’objet de stratégie de groupe du problème. Pour résoudre le problème, supprimez ou remplacez l’entrée du problème.
Code d’erreur 0x2 : le système ne trouve pas le fichier spécifié
Cette erreur est similaire à 0x534 et à 0x6fc. Cela est dû à un nom de compte irrésolvable. Lorsque l’erreur 0x2 se produit, elle indique généralement que le nom de compte irrésolvable est spécifié dans un paramètre de stratégie Groupes restreints.
Pour résoudre ce problème, procédez comme suit :
Déterminez le service ou l’objet qui rencontre l’échec. Pour ce faire, activez la journalisation du débogage pour l’extension côté client security Configuration :
Démarrez l’Éditeur du Registre.
Recherchez puis sélectionnez la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}Dans le menu Modifier , sélectionnez Ajouter une valeur, puis ajoutez la valeur de Registre suivante :
- Nom de la valeur : ExtensionDebugLevel
- Type de données : DWORD
- Données de valeur : 2
Fermez l’Éditeur du Registre.
Actualisez les paramètres de stratégie pour reproduire l’échec. Pour actualiser les paramètres de stratégie, tapez la commande suivante à l’invite de commandes, puis appuyez sur Entrée :
secedit /refreshpolicy machine_policy /enforceCette commande crée un fichier nommé Winlogon.log dans le
%SYSTEMROOT%\Security\Logsdossier .À l'invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.logLa sortie Rechercher identifie les noms de comptes problématiques, par exemple , Impossible de trouver MichaelPeltier. Dans cet exemple, le compte d’utilisateur MichaelPeltier n’existe pas dans le domaine. Ou il a une autre orthographe, par exemple MichellePeltier.
Déterminez pourquoi ce compte ne peut pas être résolu. Par exemple, recherchez les erreurs typographiques, un compte supprimé, une stratégie incorrecte s’appliquant à cet ordinateur ou un problème d’approbation.
Si vous déterminez que le compte doit être supprimé de la stratégie, recherchez la stratégie de problème et le paramètre du problème. Pour rechercher le paramètre qui contient le compte non résolu, tapez la commande suivante à l’invite de commandes sur l’ordinateur qui produit l’événement SCECLI 1202, puis appuyez sur Entrée :
c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*Pour cet exemple, la syntaxe et les résultats sont les suivants :
c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMIl identifie GPT00002.inf comme modèle de sécurité mis en cache à partir de l’objet de stratégie de groupe du problème qui contient le paramètre du problème. Il identifie également le paramètre du problème se nomment SeInteractiveLogonRight. Le nom d’affichage de SeInteractiveLogonRight est Ouverture de session localement.
Pour obtenir une correspondance des constantes (par exemple, SeInteractiveLogonRight) à leurs noms d’affichage (par exemple, Ouverture de session localement), consultez le Guide des systèmes distribués du Kit de ressources Windows 2000 Server. La carte se trouve dans la section Droits de l’utilisateur de l’annexe.
Déterminez l’objet de stratégie de groupe qui contient le paramètre du problème. Recherchez le texte dans le modèle
GPOPath=de sécurité mis en cache que vous avez identifié à l’étape 4. Dans cet exemple, vous verrez :GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04FB984F9} est le GUID de l’objet de stratégie de groupe.
Pour trouver le nom convivial de l’objet de stratégie de groupe, utilisez l’utilitaire Kit de ressources Gpotool.exe. Tapez la commande suivante à l’invite de commandes, puis appuyez sur Entrée :
gpotool /verboseRecherchez dans la sortie le GUID que vous avez identifié à l’étape 5. Les quatre lignes qui suivent le GUID contiennent le nom convivial de la stratégie. Par exemple :
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Default Domain Controllers Policy
Vous avez maintenant identifié le compte du problème, le paramètre du problème et l’objet de stratégie de groupe du problème. Pour résoudre le problème, recherchez dans la section Groupes restreints de la stratégie de sécurité des instances du compte problématique (dans cet exemple, MichaelPeltier), puis supprimez ou remplacez l’entrée du problème.
Code d’erreur 0x5 : Accès refusé
Cette erreur se produit généralement lorsque le système n’a pas reçu les autorisations appropriées pour mettre à jour la liste de contrôle d’accès d’un service. Cela peut se produire si l’administrateur définit des autorisations pour un service dans une stratégie, mais n’accorde pas les autorisations Contrôle total au compte système.
Pour résoudre ce problème, procédez comme suit :
Déterminez le service ou l’objet qui rencontre l’échec. Pour ce faire, activez la journalisation du débogage pour l’extension côté client security Configuration :
Démarrez l’Éditeur du Registre.
Recherchez puis sélectionnez la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}Dans le menu Modifier , sélectionnez Ajouter une valeur, puis ajoutez la valeur de Registre suivante :
- Nom de la valeur : ExtensionDebugLevel
- Type de données : DWORD
- Données de valeur : 2
Fermez l’Éditeur du Registre.
Actualisez les paramètres de stratégie pour reproduire l’échec. Pour actualiser les paramètres de stratégie, tapez la commande suivante à l’invite de commandes, puis appuyez sur Entrée :
secedit /refreshpolicy machine_policy /enforceCette commande crée un fichier nommé Winlogon.log dans le
%SYSTEMROOT%\Security\Logsdossier .À l’invite de commandes, tapez ce qui suit, puis appuyez sur Entrée :
find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.logLa sortie Rechercher identifie le service avec les autorisations mal configurées, par exemple , Erreur lors de l’ouverture de Dnscache. Dnscache est le nom court du service client DNS.
Découvrez quelle stratégie ou quelles stratégies tentent de modifier les autorisations de service. Pour ce faire, tapez la commande suivante à l’invite de commandes, puis appuyez sur Entrée :
find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*".Voici un exemple de commande et sa sortie :
d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)" ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMDéterminez l’objet de stratégie de groupe qui contient le paramètre du problème. Recherchez le texte dans le modèle
GPOPath=de sécurité mis en cache que vous avez identifié à l’étape 4. Dans cet exemple, vous verrez :GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04FB984F9} est le GUID de l’objet de stratégie de groupe.
Pour trouver le nom convivial de l’objet de stratégie de groupe, utilisez l’utilitaire Kit de ressources Gpotool.exe. Tapez la commande suivante à l’invite de commandes, puis appuyez sur Entrée :
gpotool /verboseRecherchez dans la sortie le GUID que vous avez identifié à l’étape 5. Les quatre lignes qui suivent le GUID contiennent le nom convivial de la stratégie. Par exemple :
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Default Domain Controllers Policy
Vous avez maintenant identifié le service avec les autorisations mal configurées et l’objet de stratégie de groupe problématique. Pour résoudre le problème, recherchez dans la section Services système de la stratégie de sécurité des instances du service avec les autorisations mal configurées. Ensuite, prenez des mesures correctives pour accorder au compte système des autorisations Contrôle total au service.
Code d’erreur 0x4b8 : une erreur étendue s’est produite
L’erreur 0x4b8 est générique et peut être causée par de nombreux problèmes différents. Pour résoudre ces erreurs, procédez comme suit :
Activez la journalisation du débogage pour l’extension côté client security Configuration :
Démarrez l’Éditeur du Registre.
Recherchez puis sélectionnez la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}Dans le menu Modifier , sélectionnez Ajouter une valeur, puis ajoutez la valeur de Registre suivante :
- Nom de la valeur : ExtensionDebugLevel
- Type de données : DWORD
- Données de valeur : 2
Fermez l’Éditeur du Registre.
Actualisez les paramètres de stratégie pour reproduire l’échec. Pour actualiser les paramètres de stratégie, tapez la commande suivante à l’invite de commandes, puis appuyez sur Entrée :
secedit /refreshpolicy machine_policy /enforceCette commande crée un fichier nommé Winlogon.log dans le
%SYSTEMROOT%\Security\Logsdossier .Consultez Les ID d’événement ESENT 1000, 1202, 412 et 454 sont enregistrés à plusieurs reprises dans le journal des applications. Cet article décrit les problèmes connus qui provoquent l’erreur 0x4b8.
Collecte de données
Si vous avez besoin d’aide du support Microsoft, nous vous recommandons de collecter les informations en suivant les étapes mentionnées dans Collecter des informations à l’aide de TSS pour stratégie de groupe problèmes.
Commentaires
Bientôt disponible : tout au long de 2024, nous allons éliminer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d'informations, consultez : https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour