SceCli 1202 hendelser logges når noen gruppepolicyinnstillingene er oppdatert i Windows Server 2008 R2 og Windows 7


Symptomer


Tenk deg følgende:
  • På en datamaskin som kjører Windows Server 2008 R2 eller Windows 7, kan du bruke redigeringsprogrammet for gruppepolicy til å administrere et gruppepolicyobjekt (GPO).
  • Noen endringer av innstillingene for Tilordning av brukerrettigheter i Gruppepolicyobjektet, og disse innstillingene har en per tjeneste-SID definert.
  • Du eksporterer og importerer en policy som er brukeren rettigheter tildeling gjennom Group Policy Management Console (GPMC).
  • Du kjører endre gruppepolicybehandling ved hjelp av Avansert Group Policy Management (AGPM).
Du kan få følgende problemer når resulterende Gruppepolicyobjektet brukes i dette scenariet:
  • Følgende SceCli 1202 hendelse er lagt til i programloggen:

  • Noen programmer, og noen tjenester starter ikke. Disse programmene og disse tjenestene bruker per tjeneste-siden til å konfigurere noen sikkerhetsinnstillinger.
Følgende er noen mer spesifikke eksempler på problemene:

  • Noen tjenester kan ikke starte på en domenekontroller som kjører Windows Server 2008 R2. Tjenesten Diagnostic System Host er et eksempel på en tjeneste som ikke starter.
  • Noen SQL-Server fungerer som funksjonene for replikering ikke fungerer når funksjonene prøver å utføre Kontoendringer, eller når funksjonene som prøver å utføre endringer i innstillinger for tillatelser for mappen.
  • Noen funksjoner i Internet Information Services (IIS) 7.5 fungerer ikke.

Årsak


Når du redigeringsprogrammet for gruppepolicybehandling endres innstillingene under Tilordning av brukerrettigheter, oversetter det per tjeneste-SID til service-navn. For eksempel "WdiServiceHost" tjenestenavnet.



I redigeringsprogrammet for gruppepolicybehandling legger ikke til prefikset "NT Service" eller "IIS applikasjonssamvirket" tjenestenavnet når det utfører oppslaget i det interne domenet "NT Service" eller "IIS applikasjonssamvirket" interne domenet. Når du redigeringsprogrammet for gruppepolicybehandling skriver tidligere analyserte navnet tilbake til GptTmpl.inf-filen, prøver i redigeringsprogrammet for gruppepolicybehandling å løse bare tjenestenavnet mot standard Active Directory-domenet. Imidlertid mislykkes forsøket. Strengen med tjenestenavnet skrives i tillegg til GptTmpl.inf-fil i stedet for per tjeneste-SID. Dette erstatter per tjeneste-siden med tjenestenavnet.



Når neste policyoppdatering inntreffer, vil oppdateringen prøver å løse navnet på tjenesten til en SID. Oppdateringen forutsetter imidlertid tjenestenavnet er en bruker- eller gruppekonto. Derfor dette mislykkes, og du får følgende feilmelding:
0x534 "Ingen tilordning mellom kontonavn og sikkerhets-IDer ble gjort"

Oppløsning


Informasjon om hurtigreparasjon

En støttet hurtigreparasjon er tilgjengelig fra Microsoft. Denne hurtigreparasjonen er imidlertid ment å løse problemet som er beskrevet i denne artikkelen. Bruk denne hurtigreparasjonen bare på systemer som har problemet som er beskrevet i denne artikkelen. Denne hurtigreparasjonen kan gjennomgå ytterligere testing. Hvis du ikke er alvorlig påvirket av dette problemet, anbefaler vi derfor at du venter på neste programvareoppdatering som inneholder denne hurtigreparasjonen.

Hvis hurtigreparasjonen er tilgjengelig for nedlasting, finnes delen "Nedlasting av hurtigreparasjoner tilgjengelig" øverst i denne Knowledge Base-artikkelen. Hvis denne delen ikke vises, kan du kontakte Microsofts kundeservice og kundestøtte for å få hurtigreparasjonen.

Obs! Hvis det oppstår andre problemer, eller hvis feilsøkingstips, må du kanskje opprette en separat forespørsel om. Vanlige kundestøttekostnader gjelder for ytterligere kundestøttespørsmål og problemer som ikke dekkes av denne oppdateringen. For en fullstendig liste over telefonnumre for Microsofts kundeservice og kundestøtte eller opprette en separat forespørsel om, kan du gå til følgende Microsoft-webområde:Obs! "Nedlasting av hurtigreparasjoner tilgjengelig"-skjemaet viser språk hurtigreparasjonen er tilgjengelig. Hvis du ikke ser språket ditt, er det fordi en hurtigreparasjon ikke er tilgjengelig for dette språket.

Forutsetninger

Hvis du vil bruke denne hurtigreparasjonen, må datamaskinen kjøre Windows 7 eller Windows Server 2008 R2.

Installasjon instruksjon

Hurtigreparasjonen løser ikke problemet automatisk. Når du har installert denne hurtigreparasjonen, må du manuelt legge prefikset tilsvarende tjenesten én gang. Hvis du vil gjøre dette, bruker du fremgangsmåten i delen "Løsning".

Krav om omstart

Du må starte datamaskinen etter at du har installert denne hurtigreparasjonen.

Informasjon om erstatning av hurtigreparasjoner

Denne hurtigreparasjonen erstatter en tidligere utgitt hurtigreparasjon 974639

974639 SceCli 1202 hendelser logges hver gang datamaskinen gruppepolicyinnstillingene er oppdatert på en datamaskin som kjører Windows Server 2008 R2 eller Windows 7

Filinformasjon

Den engelskspråklige (USA) versjonen av denne hurtigreparasjonen installerer filer med attributtene som er oppført i tabellene nedenfor. Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Datoene og klokkeslettene for disse filene på den lokale datamaskinen, vises i lokal tid sammen med din gjeldende tidsforskjell for sommertid (DST). I tillegg kan til datoene og klokkeslettene endres når du utfører bestemte operasjoner på filene.
Filinformasjonsmerknader for Windows 7 og Windows Server 2008 R2
Viktig Hurtigreparasjoner for Windows 7 og Windows Server 2008 R2 hurtigreparasjoner er inkludert i de samme pakkene. Hurtigreparasjoner på siden Be om hurtigreparasjonen er imidlertid oppført under begge operativsystemene. Hvis du vil be om hurtigreparasjonspakken som gjelder ett eller begge operativsystemene, kan du velge hurtigreparasjonen som er oppført under "Windows 7/Windows Server 2008 R2" på siden. Se delen "Gjelder" i artiklene for å fastslå det faktiske operativsystemet som gjelder hver hurtigreparasjon for alltid.
  • MANIFEST-filene (.manifest) og MUM-filene (.mum) som installeres for hvert miljø, er oppført separat i delen "Mer Filinformasjon for Windows Server 2008 R2 og Windows 7". MUM- og MANIFEST-filer og tilknyttede sikkerhetskatalogfiler (.cat)-filer, er det svært viktig å kunne vedlikeholde status på den oppdaterte komponenten. Sikkerhetskatalogfilene, som attributtene ikke er oppført, er signert med Microsofts digitale signatur.
For alle støttede x86-baserte versjoner av Windows 7

FilnavnFilversjonFilstørrelseDatoTidPlattform
Scecli.dll6.1.7600.20617175,61614-Jan-201007:37x86
Sceregvl.infIkke tilgjengelig14,96114-Jan-201003:59Ikke tilgjengelig
Secrecs.infIkke tilgjengelig9,16014-Jan-201003:59Ikke tilgjengelig
For alle støttede x64-baserte versjoner av Windows 7 og Windows Server 2008 R2

FilnavnFilversjonFilstørrelseDatoTidPlattform
Scecli.dll6.1.7600.20617232,96014-Jan-201008:15x64
Sceregvl.infIkke tilgjengelig14,96114-Jan-201004:19Ikke tilgjengelig
Secrecs.infIkke tilgjengelig9,16014-Jan-201004:19Ikke tilgjengelig
Scecli.dll6.1.7600.20617175,61614-Jan-201007:37x86
For alle støttede IA-64-baserte versjoner av Windows Server 2008 R2

FilnavnFilversjonFilstørrelseDatoTidPlattform
Scecli.dll6.1.7600.20617474,11214-Jan-201006:58IA-64
Sceregvl.infIkke tilgjengelig14,96114-Jan-201003:31Ikke tilgjengelig
Secrecs.infIkke tilgjengelig9,16014-Jan-201003:31Ikke tilgjengelig
Scecli.dll6.1.7600.20617175,61614-Jan-201007:37x86

Løsningen


Hvis du vil omgå dette problemet, legge til prefikset tjenestekontoene manuelt ved å redigere filen GptTmpl.inf.
  • Legge til prefikset "IIS-AppPool\" for IIS-identiteter. Følgende er noen eksempler på en IIS-identitet:
    • DefaultAppPool
    • Klassisk .NET applikasjonssamvirket
  • For Windows service navn, og legge til prefikset "NT-tjeneste" for SQL Server-tjenestenavn. Følgende er noen eksempler av et navn for Windows-tjenesten og et navn for SQL Server-tjenesten:
    • WdiServiceHost
    • MSSQLSERVER
    • MSSQLFDLauncher
Obs! Vi anbefaler at du installerer denne hurtigreparasjonen for å løse dette problemet.

Status


Microsoft har bekreftet at dette er et problem i Microsoft-produktene som er oppført i delen "Gjelder for".

Hvis du vil ha mer informasjon


Denne hurtigreparasjonen løser dette problemet for prefikset "IIS-AppPool\". Hvis du åpner filen GptTmpl.inf i mappen for følgende relaterte gruppepolicy, kan du finne noen service navn i stedet for sider:
%SYSTEMROOT%\SYSVOL\ < domenenavn > \Policies\ < unik ID > \Machine\Microsoft\Windows NT\SecEdit

Følgende er et eksempel på noen uløste tjenestenavn som finnes i filen GptTmpl.inf:

[Privilege Rights] SeAssignPrimaryTokenPrivilege = WdiServiceHost,*S-1-5-20,*S-1-5-19,DefaultAppPool,Classic .NET AppPool,MSSQLSERVER,MSSQLFDLauncher
SeChangeNotifyPrivilege = WdiServiceHost,*S-1-5-32-554,*S-1-5-11,*S-1-5-32-544,*S-1-5-20,*S-1-5-19,*S-1-1- 0,MSSQLSERVER,MSSQLFDLauncher
SeAuditPrivilege = DefaultAppPool,*S-1-5-19,*S-1-5-20,Classic .NET AppPool

Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

975566 SceCli 1202 hendelser logges hver gang datamaskinen gruppepolicyinnstillingene er oppdatert på en datamaskin som kjører Windows Server 2008 eller Windows Vista

Hvis du vil ha mer informasjon om terminologi for programvareoppdatering, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

824684 beskrivelse av standardterminologien som brukes til å beskrive oppdateringer av Microsoft-programvare

Mer filinformasjon

Mer filinformasjon for Windows 7 og Windows Server 2008 R2

Tilleggsfiler for alle støttede x86-baserte versjoner av Windows 7

FilnavnUpdate.mum
FilversjonIkke tilgjengelig
Filstørrelse1,674
Dato (UTC)15-Jan-2010
Tid (UTC)00:05
PlattformIkke tilgjengelig
FilnavnX86_4b23d6171b29fe190f750dbfdff5a3c8_31bf3856ad364e35_6.1.7600.20617_none_c6c85e7ef28644ad.manifest
FilversjonIkke tilgjengelig
Filstørrelse733
Dato (UTC)15-Jan-2010
Tid (UTC)00:05
PlattformIkke tilgjengelig
FilnavnX86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_38bb891e53520db2.manifest
FilversjonIkke tilgjengelig
Filstørrelse70,644
Dato (UTC)14-Jan-2010
Tid (UTC)08:05
PlattformIkke tilgjengelig
Tilleggsfiler for alle støttede x64-baserte versjoner av Windows 7 og Windows Server 2008 R2

FilnavnAmd64_8331c794b0ea1624f2d703935632f539_31bf3856ad364e35_6.1.7600.20617_none_6f4a74113706c5bf.manifest
FilversjonIkke tilgjengelig
Filstørrelse737
Dato (UTC)15-Jan-2010
Tid (UTC)00:05
PlattformIkke tilgjengelig
FilnavnAmd64_a429a62f5dfe97d159700bc70cb9194b_31bf3856ad364e35_6.1.7600.20617_none_f8dbb49ab59a5dd2.manifest
FilversjonIkke tilgjengelig
Filstørrelse737
Dato (UTC)15-Jan-2010
Tid (UTC)00:05
PlattformIkke tilgjengelig
FilnavnAmd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_94da24a20baf7ee8.manifest
FilversjonIkke tilgjengelig
Filstørrelse70,648
Dato (UTC)14-Jan-2010
Tid (UTC)08:53
PlattformIkke tilgjengelig
FilnavnUpdate.mum
FilversjonIkke tilgjengelig
Filstørrelse2,328
Dato (UTC)15-Jan-2010
Tid (UTC)00:05
PlattformIkke tilgjengelig
FilnavnWow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_9f2ecef4401040e3.manifest
FilversjonIkke tilgjengelig
Filstørrelse68,202
Dato (UTC)14-Jan-2010
Tid (UTC)07:52
PlattformIkke tilgjengelig
Tilleggsfiler for alle støttede IA-64-baserte versjoner av Windows Server 2008 R2

FilnavnIa64_318432fa0b83986063b79144bea75ebd_31bf3856ad364e35_6.1.7600.20617_none_5a784932fdc5c7f2.manifest
FilversjonIkke tilgjengelig
Filstørrelse735
Dato (UTC)15-Jan-2010
Tid (UTC)00:05
PlattformIkke tilgjengelig
FilnavnIa64_a429a62f5dfe97d159700bc70cb9194b_31bf3856ad364e35_6.1.7600.20617_none_9cbebd0cfd3af598.manifest
FilversjonIkke tilgjengelig
Filstørrelse736
Dato (UTC)15-Jan-2010
Tid (UTC)00:05
PlattformIkke tilgjengelig
FilnavnIa64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_38bd2d14535016ae.manifest
FilversjonIkke tilgjengelig
Filstørrelse70,646
Dato (UTC)14-Jan-2010
Tid (UTC)08:33
PlattformIkke tilgjengelig
FilnavnUpdate.mum
FilversjonIkke tilgjengelig
Filstørrelse1,684
Dato (UTC)15-Jan-2010
Tid (UTC)00:05
PlattformIkke tilgjengelig
FilnavnWow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_9f2ecef4401040e3.manifest
FilversjonIkke tilgjengelig
Filstørrelse68,202
Dato (UTC)14-Jan-2010
Tid (UTC)07:52
PlattformIkke tilgjengelig