Risolvere i problemi degli eventi SCECLI 1202
Questo articolo descrive i modi per risolvere e risolvere gli eventi SCECLI 1202.
Si applica a: Windows Server 2012 R2
Numero KB originale: 324383
Riepilogo
Il primo passaggio per la risoluzione di questi eventi consiste nell'identificare il codice di errore Win32. Questo codice di errore distingue il tipo di errore che causa l'evento SCECLI 1202. Di seguito è riportato un esempio di evento SCECLI 1202. Il codice di errore viene visualizzato nel campo Descrizione . In questo esempio il codice di errore viene 0x534. Il testo dopo il codice di errore è la descrizione dell'errore. Dopo aver determinato il codice di errore, trovare la sezione relativa al codice di errore in questo articolo e quindi seguire la procedura di risoluzione dei problemi descritta in tale sezione.
0x534: non è stato eseguito alcun mapping tra nomi di account e ID di sicurezza.
oppure
0x6fc: la relazione di trust tra il dominio primario e il dominio attendibile non è riuscita.
Codice di errore 0x534: non è stato eseguito alcun mapping tra nomi di account e ID di sicurezza
Questi codici di errore indicano che non è stato possibile risolvere un account di sicurezza in un identificatore di sicurezza (SID). L'errore si verifica in genere perché il nome di un account non è stato digitato in modo corretto o perché l'account è stato eliminato dopo l'aggiunta all'impostazione dei criteri di sicurezza. Si verifica in genere nella sezione Diritti utente o nella sezione Gruppi con restrizioni dell'impostazione dei criteri di sicurezza. Può verificarsi anche se l'account esiste in un trust e quindi la relazione di trust viene interrotta.
Per risolvere il problema, procedere come segue:
Determinare l'account che causa l'errore. A tale scopo, abilitare la registrazione di debug per l'estensione lato client configurazione di sicurezza:
Avviare l'editor del Registro di sistema
Individuare e selezionare la sottochiave seguente del Registro di sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}Nel menu Modifica selezionare Aggiungi valore e quindi aggiungere il valore del Registro di sistema seguente:
- Nome valore: ExtensionDebugLevel
- Tipo valore: DWORD
- Dati valore: 2
Uscire dall'editor del Registro di sistema.
Aggiornare le impostazioni dei criteri per riprodurre l'errore. Per aggiornare le impostazioni dei criteri, digitare il comando seguente al prompt dei comandi e quindi premere INVIO:
secedit /refreshpolicy machine_policy /enforceQuesto comando crea un file denominato Winlogon.log nella
%SYSTEMROOT%\Security\Logscartella .Trovare l'account del problema. A tale scopo, digitare il comando seguente al prompt dei comandi e quindi premere INVIO:
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.logL'output Find identifica i nomi degli account di problema, ad esempio Impossibile trovare MichaelPeltier. In questo esempio l'account utente MichaelPeltier non esiste nel dominio. Oppure ha un'ortografia diversa, ad esempio MichellePeltier.
Determinare perché l'account non può essere risolto. Ad esempio, cercare errori tipografici, un account eliminato, i criteri errati che si applicano a questo computer o un problema di attendibilità.
Se si determina che l'account deve essere rimosso dai criteri, individuare i criteri di problema e l'impostazione del problema. Per determinare quale impostazione contiene l'account non risolto, digitare il comando seguente al prompt dei comandi nel computer che produce l'evento SCECLI 1202 e quindi premere INVIO:
c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*Per questo esempio, la sintassi e i risultati sono:
c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelPeltier,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMIdentifica GPT00002.inf come modello di sicurezza memorizzato nella cache dal problema Criteri di gruppo oggetto (GPO) che contiene l'impostazione del problema. Identifica anche l'impostazione del problema come SeInteractiveLogonRight. Il nome visualizzato per SeInteractiveLogonRight è Accesso in locale.
Per una mappa delle costanti (ad esempio, SeInteractiveLogonRight) ai relativi nomi visualizzati (ad esempio, Accesso in locale), vedere microsoft Windows 2000 Server Resource Kit, Distributed Systems Guide.For a map of the constants (ad esempio, SeInteractiveLogonRight) to their display names (ad esempio, Logon localmente), vedere microsoft Windows 2000 Server Resource Kit, Distributed Systems Guide. La mappa si trova nella sezione Diritti utente dell'appendice.
Determinare quale oggetto Criteri di gruppo contiene l'impostazione del problema. Cercare il testo
GPOPath=nel modello di sicurezza memorizzato nella cache identificato nel passaggio 4. In questo esempio viene visualizzato quanto segue:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04FB984F9} è il GUID dell'oggetto Criteri di gruppo.
Per trovare il nome descrittivo dell'oggetto Criteri di gruppo, usare l'utilità Resource Kit Gpotool.exe. Digitare il comando seguente al prompt dei comandi e quindi premere INVIO:
gpotool /verboseCercare nell'output il GUID identificato nel passaggio 5. Le quattro righe che seguono il GUID contengono il nome descrittivo dei criteri. Ad esempio:
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Default Domain Controllers Policy
A questo punto sono stati identificati l'account del problema, l'impostazione del problema e l'oggetto Criteri di gruppo del problema. Per risolvere il problema, rimuovere o sostituire la voce del problema.
Codice di errore 0x2: il sistema non riesce a trovare il file specificato
Questo errore è simile a 0x534 e a 0x6fc. È causato da un nome di account irresolvibile. Quando si verifica l'errore 0x2, in genere indica che il nome dell'account irresolvibile è specificato in un'impostazione di criteri Gruppi con restrizioni.
Per risolvere il problema, procedere come segue:
Determinare il servizio o l'oggetto in cui si è verificato l'errore. A tale scopo, abilitare la registrazione di debug per l'estensione lato client configurazione di sicurezza:
Avviare l'editor del Registro di sistema
Individuare e selezionare la sottochiave seguente del Registro di sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}Nel menu Modifica selezionare Aggiungi valore e quindi aggiungere il valore del Registro di sistema seguente:
- Nome valore: ExtensionDebugLevel
- Tipo valore: DWORD
- Dati valore: 2
Uscire dall'editor del Registro di sistema.
Aggiornare le impostazioni dei criteri per riprodurre l'errore. Per aggiornare le impostazioni dei criteri, digitare il comando seguente al prompt dei comandi e quindi premere INVIO:
secedit /refreshpolicy machine_policy /enforceQuesto comando crea un file denominato Winlogon.log nella
%SYSTEMROOT%\Security\Logscartella .Al prompt dei comandi digitare il comando seguente e quindi premere INVIO:
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.logL'output Find identifica i nomi degli account di problema, ad esempio Impossibile trovare MichaelPeltier. In questo esempio l'account utente MichaelPeltier non esiste nel dominio. Oppure ha un'ortografia diversa, ad esempio MichellePeltier.
Determinare perché l'account non può essere risolto. Ad esempio, cercare errori tipografici, un account eliminato, i criteri errati applicati al computer o un problema di attendibilità.
Se si determina che l'account deve essere rimosso dai criteri, individuare i criteri di problema e l'impostazione del problema. Per trovare l'impostazione contenente l'account non risolto, digitare il comando seguente al prompt dei comandi nel computer che produce l'evento SCECLI 1202 e quindi premere INVIO:
c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*Per questo esempio, la sintassi e i risultati sono:
c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMIdentifica GPT00002.inf come modello di sicurezza memorizzato nella cache dall'oggetto Criteri di gruppo del problema che contiene l'impostazione del problema. Identifica anche l'impostazione del problema come SeInteractiveLogonRight. Il nome visualizzato per SeInteractiveLogonRight è Accesso in locale.
Per una mappa delle costanti (ad esempio, SeInteractiveLogonRight) ai relativi nomi visualizzati (ad esempio, Accesso in locale), vedere Windows 2000 Server Resource Kit, Distributed Systems Guide. La mappa si trova nella sezione Diritti utente dell'appendice.
Determinare quale oggetto Criteri di gruppo contiene l'impostazione del problema. Cercare il testo
GPOPath=nel modello di sicurezza memorizzato nella cache identificato nel passaggio 4. In questo esempio viene visualizzato quanto segue:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04FB984F9} è il GUID dell'oggetto Criteri di gruppo.
Per trovare il nome descrittivo dell'oggetto Criteri di gruppo, usare l'utilità Resource Kit Gpotool.exe. Digitare il comando seguente al prompt dei comandi e quindi premere INVIO:
gpotool /verboseCercare nell'output il GUID identificato nel passaggio 5. Le quattro righe che seguono il GUID contengono il nome descrittivo dei criteri. Ad esempio:
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Default Domain Controllers Policy
A questo punto sono stati identificati l'account del problema, l'impostazione del problema e l'oggetto Criteri di gruppo del problema. Per risolvere il problema, cercare le istanze dell'account del problema (in questo esempio MichaelPeltier) nella sezione Gruppi con restrizioni dei criteri di sicurezza e quindi rimuovere o sostituire la voce del problema.
Codice di errore 0x5: Accesso negato
Questo errore si verifica in genere quando al sistema non sono state concesse le autorizzazioni corrette per aggiornare l'elenco di controllo di accesso di un servizio. Può verificarsi se l'amministratore definisce le autorizzazioni per un servizio in un criterio, ma non concede le autorizzazioni controllo completo dell'account di sistema.
Per risolvere il problema, procedere come segue:
Determinare il servizio o l'oggetto in cui si è verificato l'errore. A tale scopo, abilitare la registrazione di debug per l'estensione lato client configurazione di sicurezza:
Avviare l'editor del Registro di sistema
Individuare e selezionare la sottochiave seguente del Registro di sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}Nel menu Modifica selezionare Aggiungi valore e quindi aggiungere il valore del Registro di sistema seguente:
- Nome valore: ExtensionDebugLevel
- Tipo valore: DWORD
- Dati valore: 2
Uscire dall'editor del Registro di sistema.
Aggiornare le impostazioni dei criteri per riprodurre l'errore. Per aggiornare le impostazioni dei criteri, digitare il comando seguente al prompt dei comandi e quindi premere INVIO:
secedit /refreshpolicy machine_policy /enforceQuesto comando crea un file denominato Winlogon.log nella
%SYSTEMROOT%\Security\Logscartella .Al prompt dei comandi digitare quanto segue e quindi premere INVIO:
find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.logL'output find identifica il servizio con le autorizzazioni non configurate correttamente, ad esempio Errore durante l'apertura di Dnscache. Dnscache è il nome breve per il servizio client DNS.
Individuare i criteri o i criteri che tentano di modificare le autorizzazioni del servizio. A tale scopo, digitare il comando seguente al prompt dei comandi e quindi premere INVIO:
find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*".Di seguito è riportato un comando di esempio e il relativo output:
d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)" ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMDeterminare quale oggetto Criteri di gruppo contiene l'impostazione del problema. Cercare il testo
GPOPath=nel modello di sicurezza memorizzato nella cache identificato nel passaggio 4. In questo esempio viene visualizzato quanto segue:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04FB984F9} è il GUID dell'oggetto Criteri di gruppo.
Per trovare il nome descrittivo dell'oggetto Criteri di gruppo, usare l'utilità Resource Kit Gpotool.exe. Digitare il comando seguente al prompt dei comandi e quindi premere INVIO:
gpotool /verboseCercare nell'output il GUID identificato nel passaggio 5. Le quattro righe che seguono il GUID contengono il nome descrittivo dei criteri. Ad esempio:
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Default Domain Controllers Policy
A questo punto è stato identificato il servizio con le autorizzazioni non configurate correttamente e l'oggetto Criteri di gruppo problema. Per risolvere il problema, cercare le istanze del servizio con le autorizzazioni non configurate correttamente nella sezione Servizi di sistema dei criteri di sicurezza. E quindi intraprendere un'azione correttiva per concedere le autorizzazioni controllo completo dell'account di sistema al servizio.
Codice di errore 0x4b8: si è verificato un errore esteso
L'errore 0x4b8 è generico e può essere causato da molti problemi diversi. Per risolvere questi errori, seguire questa procedura:
Abilitare la registrazione di debug per l'estensione lato client configurazione di sicurezza:
Avviare l'editor del Registro di sistema
Individuare e selezionare la sottochiave seguente del Registro di sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}Nel menu Modifica selezionare Aggiungi valore e quindi aggiungere il valore del Registro di sistema seguente:
- Nome valore: ExtensionDebugLevel
- Tipo valore: DWORD
- Dati valore: 2
Uscire dall'editor del Registro di sistema.
Aggiornare le impostazioni dei criteri per riprodurre l'errore. Per aggiornare le impostazioni dei criteri, digitare il comando seguente al prompt dei comandi e quindi premere INVIO:
secedit /refreshpolicy machine_policy /enforceQuesto comando crea un file denominato Winlogon.log nella
%SYSTEMROOT%\Security\Logscartella .Vedere Gli ID evento ESENT 1000, 1202, 412 e 454 vengono registrati ripetutamente nel registro applicazioni. Questo articolo descrive i problemi noti che causano l'errore 0x4b8.
Raccolta dei dati
Se è necessaria assistenza da parte del supporto tecnico Microsoft, è consigliabile raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni usando TSS per i problemi di Criteri di gruppo.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per