SceCli 1202 gebeurtenissen worden vastgelegd, telkens wanneer de instellingen voor Groepsbeleid voor computers op een computer waarop Windows Server 2008 R2 of Windows 7 worden vernieuwd


Symptomen


Overweeg het volgende scenario:

  • Op een computer waarop Windows Server 2008 R2 of Windows 7 wordt uitgevoerd, kunt u de Editor voor Groepsbeleidsbeheer een groepsbeleidsobject (GPO).
  • Veel wijzigingen zijn aangebracht in de instellingen in het groepsbeleidsobject voor 'Toewijzing van gebruiksrecht' en deze instellingen hebben een SID per service gedefinieerd.
In dit scenario is wanneer het groepsbeleid wordt toegepast, treden de volgende problemen:
  • Een 1202 SceCli gebeurtenis toegevoegd aan het logboek voor toepassingsgebeurtenissen:

    Hier volgt een voorbeeld van een logboekvermelding SceCli 1202:
  • Sommige toepassingen of services kunnen niet worden gestart. Deze toepassingen of services gebruiken de SID per service om beveiligingsinstellingen te configureren.

    Bijvoorbeeld:
    1. U kunt Active Directory Domain Services installeren op een lidserver met Windows Server 2008 R2.
    2. U aanbrengt een wijziging in de 'Toewijzing van gebruiksrecht' instelling in een groepsbeleidsobject vanaf een computer waarop Windows Server 2008 R2 of Windows 7 wordt uitgevoerd.
    3. Dit groepsbeleidsobject wordt toegepast op de domeincontroller waarop Windows Server 2008 R2 wordt uitgevoerd.
    In dit geval optreedt het probleem. Sommige services, zoals de "Diagnostisch systeem Host"-service starten niet omdat het probleem.

Oorzaak


Wanneer de Editor voor Groepsbeleidsbeheer instellingen onder Toewijzing van gebruikersrechtwijzigt, vertaalt per service-SID aan de servicenamen. Bijvoorbeeld "WdiSystemHost" naam van de service.

De Editor voor Groepsbeleidsbeheer wordt niet het voorvoegsel 'NT Service' toegevoegd aan de naam van de service voor het uitvoeren van de zoekactie in het interne domein voor "NT Service". Als u de Editor voor Groepsbeleidsbeheer schrijft de eerder verdeelde naam terug in het bestand GptTmpl.inf, probeert op te lossen, alleen de naam "WdiSystemHost" ten opzichte van de standaard Active Directory-domein. Echter, dit niet lukt. Ook wordt de tekenreeks "WdiSystemHost" geschreven naar het bestand GptTmpl.inf in plaats van de SID. Dit gedrag vervangt de per-service SID door de servicenaam.



Wanneer de volgende beleidsvernieuwing optreedt, probeert de vernieuwing van de naam van de service omzetten in een SID alsof het gebruikers- of groepsaccount. Maar mislukt dit met de fout 0x534 'geen toewijzing tussen accountnamen en beveiligings-id's is gedaan."

Oplossing


Opmerking De hotfix lost niet automatisch problemen met dit probleem. Nadat u deze hotfix hebt toegepast, moet u 'NT SERVICE\' rechtstreeks in het bestand GptTmpl.inf handmatig toevoegen. U moet bijvoorbeeld 'WdiSystemHost' met 'NT SERVICE\WdiSystemHost' vervangen met behulp van de Editor voor lokaal groepsbeleid.

Een ondersteunde hotfix is beschikbaar bij Microsoft. Deze hotfix is echter alleen bedoeld voor het probleem dat wordt beschreven in dit artikel. Voer deze hotfix alleen uit op systemen waarop de in dit artikel beschreven problemen zich voordoen. Deze hotfix moet wellicht extra worden getest. Als u geen ernstige hinder ondervindt van dit probleem, is het daarom raadzaam te wachten op de volgende update waarin deze hotfix is opgenomen.

Als de hotfix gedownload kan worden, is er een sectie 'Hotfix downloaden' aan het begin van dit Knowledge Base-artikel. Als deze sectie niet wordt weergegeven, neem dan contact op met Microsoft Customer Service and Support om de hotfix te verkrijgen.

Opmerking Als er andere problemen optreden of als probleemoplossing is vereist, moet u wellicht een apart serviceverzoek indienen. De normale ondersteuningskosten gelden voor extra ondersteuningsvragen en problemen die niet in aanmerking komen voor deze specifieke hotfix. Voor een volledige lijst met telefoonnummers van Microsoft Customer Service and Support of een afzonderlijk serviceverzoek maken, gaat u naar de volgende Microsoft-website:Opmerking Het formulier 'Hotfix kan worden gedownload' geeft de talen weer waarvoor de hotfix beschikbaar is. Als uw taal niet wordt weergegeven, is dit omdat een hotfix niet voor die taal beschikbaar is.

Vereisten

Deze hotfix moet op de computer een van de volgende besturingssystemen worden uitgevoerd:
  • Windows 7
  • Windows Server 2008 R2

Opnieuw opstarten


Nadat u deze hotfix hebt geïnstalleerd, moet u de computer opnieuw opstarten.

Informatie over het vervangen van hotfixes


Deze hotfix vervangt geen andere hotfixes.

Bestandsinformatie


De Engelse versie van deze hotfix heeft de bestandskenmerken (of recentere bestandskenmerken) die in de volgende tabel worden weergegeven. De datums en tijden voor deze bestanden worden weergegeven in Coordinated Universal Time (UTC). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Om het verschil tussen UTC en lokale tijd te vinden, gebruik de
Tijdzone
tabblad de
Datum en tijd
een item in het Configuratiescherm.


Voor alle ondersteunde x86-versies van Windows 7
BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Scecli.dll6.1.7600.20527175,61615-Sep-200905:59x86
Sceregvl.infNiet van toepassing14,96115-Sep-200902:18Niet van toepassing
Secrecs.infNiet van toepassing9,16015-Sep-200902:18Niet van toepassing

Voor alle ondersteunde Itanium-versies van Windows Server 2008 R2
BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Scecli.dll6.1.7600.20527473,08815-Sep-200904:56IA-64
Sceregvl.infNiet van toepassing14,96115-Sep-200901:51Niet van toepassing
Secrecs.infNiet van toepassing9,16015-Sep-200901:51Niet van toepassing
BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Scecli.dll6.1.7600.20527175,61615-Sep-200905:59x86

Voor alle ondersteunde versies van Windows Server 2008 R2 en Windows 7 op basis van x64
BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Scecli.dll6.1.7600.20527232,44815-Sep-200906:38x64
Sceregvl.infNiet van toepassing14,96115-Sep-200902:25Niet van toepassing
Secrecs.infNiet van toepassing9,16015-Sep-200902:25Niet van toepassing
BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Scecli.dll6.1.7600.20527175,61615-Sep-200905:59x86


Status


Microsoft heeft bevestigd dat dit probleem kan optreden in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'.

Meer informatie


Nadat het probleem zich voordoet, wordt het volgende foutbericht naar het bestand Winlogon.log toegevoegd:

1332 fout: Er is geen toewijzing tussen accountnamen en beveiligings-id's is gedaan. Kan < naam > niet vinden.


Opmerking Het bestand Winlogon.log bevindt zich in de volgende map:

%windir%\security\logs


Als u het bestand GptTmpl.inf in de volgende gerelateerde map opent, kunt u sommige namen van SQL service vinden:

%SYSTEMROOT%\SYSVOL\ < domeinnaam.com > \Policies\ < UID > \Machine\Microsoft\Windows NT\SecEdit


Hier volgt een voorbeeld van de WDI Servicenamen die zijn gevonden in het bestand GptTmpl.inf:



[Rechten]

SeAssignPrimaryTokenPrivilege = WdiServiceHost,*S-1-5-20,*S-1-5-19

SeChangeNotifyPrivilege = WdiServiceHost,*S-1-5-32-554,*S-1-5-11,*S-1-5-32-544,*S-1-5-20,*S-1-5-19,*S-1-1-0


Opmerking De hotfix lost niet automatisch problemen met dit probleem. Nadat u deze hotfix hebt toegepast, moet u 'NT SERVICE\' rechtstreeks in het bestand GptTmpl.inf handmatig toevoegen. U moet bijvoorbeeld 'WdiSystemHost' met 'NT SERVICE\WdiSystemHost' vervangen met behulp van de Editor voor lokaal groepsbeleid.

Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

824684 beschrijving van de standaardterminologie die wordt gebruikt om software-updates voor Microsoft te beschrijven



Aanvullende bestandsinformatie voor Windows Server 2008 R2 en Windows 7


Extra bestanden voor alle ondersteunde x86-versies van Windows 7

BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Package_for_kb974639_rtm~31bf3856ad364e35~x86~~6.1.1.0.mumNiet van toepassing1,94715-Sep-200913:35Niet van toepassing
X86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_38b0b74c535a2c7c.manifestNiet van toepassing70,64415-Sep-200906:32Niet van toepassing

Extra bestanden voor alle ondersteunde Itanium-versies van Windows Server 2008 R2

BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Ia64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_38b25b4253583578.manifestNiet van toepassing70,64615-Sep-200906:53Niet van toepassing
Package_for_kb974639_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mumNiet van toepassing1,95815-Sep-200913:35Niet van toepassing
Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_9f23fd2240185fad.manifestNiet van toepassing68,20215-Sep-200906:16Niet van toepassing

Aanvullende bestanden voor alle ondersteunde versies van Windows Server 2008 R2 en Windows 7 op basis van x64

BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Amd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_94cf52d00bb79db2.manifestNiet van toepassing70,64815-Sep-200908:50Niet van toepassing
Package_for_kb974639_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mumNiet van toepassing2,87915-Sep-200913:35Niet van toepassing
Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_9f23fd2240185fad.manifestNiet van toepassing68,20215-Sep-200906:16Niet van toepassing