De gebeurtenissen SceCli 1202 worden vastgelegd wanneer bepaalde groepsbeleidinstellingen worden vernieuwd in Windows Server 2008 R2 en Windows 7


Symptomen


Overweeg het volgende scenario:
  • Op een computer waarop Windows Server 2008 R2 of Windows 7 wordt uitgevoerd, kunt u de Editor voor Groepsbeleidsbeheer een groepsbeleidsobject (GPO).
  • Sommige wijzigingen zijn aangebracht in de instellingen van de Toewijzing van gebruikersrechten in het GPO en deze instellingen hebben een SID per service gedefinieerd.
  • Exporteren en importeren van een beleid waarin de toewijzing is ingesteld op gebruiker rechten via Group Policy Management Console (GPMC).
  • Wijziging Groepsbeleidsbeheer met behulp van Group Policy Management AGPM (Advanced) wordt uitgevoerd.
In dit scenario wordt ondervinden u de volgende problemen wanneer u de resulterende groepsbeleidsobject wordt toegepast:
  • De volgende 1202 SceCli gebeurtenis toegevoegd aan het toepassingslogboek:

  • Sommige toepassingen en sommige services niet gestart. Deze toepassingen en deze services gebruiken de SID per service bepaalde beveiligingsinstellingen te configureren.
Hier volgen enkele specifieke voorbeelden van de problemen:

  • Sommige services starten niet op een domeincontroller waarop Windows Server 2008 R2 wordt uitgevoerd. Een voorbeeld van een service kan niet worden gestart, is de diagnostische systeem Host-service.
  • Sommige SQL Server werkt, zoals de functies voor replicatie werkt niet wanneer de functies uit te voeren wijzigingen, of wanneer de functies voor het uitvoeren van wijzigingen in de instellingen van de machtiging map.
  • Sommige functies in Internet Information Services (IIS) 7.5 werkt niet.

Oorzaak


Wanneer de Editor voor Groepsbeleidsbeheer instellingen onder Toewijzing van gebruikersrechtwijzigt, vertaalt per service-SID aan de servicenamen. Bijvoorbeeld "WdiServiceHost" naam van de service.



De Editor voor Groepsbeleidsbeheer wordt het voorvoegsel "NT Service" of 'IIS AppPool' niet toegevoegd aan de servicenaam van de bij het uitvoeren van de zoekactie in het interne domein voor "NT Service" of het interne domein voor "IIS AppPool". Als u de Editor voor Groepsbeleidsbeheer schrijft de eerder verdeelde naam terug naar het bestand GptTmpl.inf, probeert de Editor voor Groepsbeleidsbeheer op te lossen de servicenaam ten opzichte van de standaard Active Directory-domein. Echter, dit niet lukt. Bovendien is de tekenreeks van de naam van het bestand GptTmpl.inf in plaats van de SID per service geschreven. Dit gedrag vervangt de per-service SID door de servicenaam.



Als de volgende beleidsupdate van het, probeert de update de servicenaam van de omzetten in een SID. Echter met de update wordt aangenomen dat de naam van een gebruikers- of groepsaccount. Daarom dit gedrag mislukt en u ontvangt het volgende foutbericht weergegeven:
0x534 "geen toewijzing tussen accountnamen en beveiligings-id's is gedaan'

Oplossing


Informatie over de hotfix

Een ondersteunde hotfix is beschikbaar bij Microsoft. Deze hotfix is echter alleen bedoeld voor het probleem dat wordt beschreven in dit artikel. Voer deze hotfix alleen uit op systemen waarop de in dit artikel beschreven problemen zich voordoen. Deze hotfix moet wellicht extra worden getest. Als u geen ernstige hinder ondervindt van dit probleem, is het daarom raadzaam te wachten op de volgende update waarin deze hotfix is opgenomen.

Als de hotfix gedownload kan worden, is er een sectie 'Hotfix downloaden' aan het begin van dit Knowledge Base-artikel. Als deze sectie niet wordt weergegeven, neem dan contact op met Microsoft Customer Service and Support om de hotfix te verkrijgen.

Opmerking Als er andere problemen optreden of als probleemoplossing is vereist, moet u wellicht een apart serviceverzoek indienen. De normale ondersteuningskosten gelden voor extra ondersteuningsvragen en problemen die niet in aanmerking komen voor deze specifieke hotfix. Voor een volledige lijst met telefoonnummers van Microsoft Customer Service and Support of een afzonderlijk serviceverzoek maken, gaat u naar de volgende Microsoft-website:Opmerking Het formulier 'Hotfix kan worden gedownload' geeft de talen weer waarvoor de hotfix beschikbaar is. Als uw taal niet wordt weergegeven, is dit omdat een hotfix niet voor die taal beschikbaar is.

Vereisten

Deze hotfix moet Windows 7 of Windows Server 2008 R2 worden uitgevoerd op uw computer.

Installatie-instructies

Dit probleem wordt niet automatisch omgezet door de hotfix. Nadat u deze hotfix hebt geïnstalleerd, moet u handmatig het toevoegen het bijbehorende voorvoegsel voor de service één keer. Gebruik hiervoor de procedure in de sectie 'Omzeiling'.

Opnieuw opstarten

Nadat u deze hotfix hebt geïnstalleerd, moet u de computer opnieuw opstarten.

Informatie over het vervangen van hotfixes

Deze hotfix vervangt geen eerder uitgebrachte hotfix 974639

974639 SceCli 1202-gebeurtenissen worden geregistreerd wanneer instellingen voor Groepsbeleid voor computers op een computer waarop Windows Server 2008 R2 of Windows 7 worden vernieuwd

Bestandsinformatie

De Engelse (Verenigde Staten) versie van deze hotfix installeert bestanden met de bestandskenmerken die in de volgende tabellen worden weergegeven. De datums en tijden voor deze bestanden worden weergegeven in Coordinated Universal Time (UTC). De datums en tijden voor deze bestanden op uw lokale computer worden weergegeven in uw lokale tijd samen met het huidige verschil met de zomertijd (DST). Bovendien kunnen de datums en tijden veranderen wanneer u bepaalde bewerkingen op de bestanden uitvoert.
Opmerkingen over bestandsinformatie in Windows 7 en Windows Server 2008 R2
Belangrijk Hotfixes voor Windows 7 en Windows Server 2008 R2 zijn opgenomen in dezelfde pakketten. Hotfixes op de pagina Hotfix aanvragen worden echter vermeld onder de beide besturingssystemen. Als u het pakket met hotfixes die voor een of beide besturingssystemen geldt wilt aanvragen, selecteert u de hotfix die op de pagina staat vermeld onder 'Windows 7/Windows Server 2008 R2'. Raadpleeg altijd de sectie 'Van toepassing op' in de artikelen om het besturingssysteem te bepalen waarop elke hotfix van toepassing is.
  • De MANIFEST-bestanden (.manifest) en MUM-bestanden (.mum) die zijn geïnstalleerd voor elke omgeving zijn apart vermeld in de sectie "Bestandsinformatie voor Windows Server 2008 R2 en Windows 7". MUM- en MANIFEST-bestanden- en de bijbehorende beveiligingscatalogusbestanden (.cat)-bestanden zijn zeer belangrijk voor het behoud van de status van het bijgewerkte onderdeel. De beveiligingscatalogusbestanden, waarvan de kenmerken niet worden vermeld, zijn ondertekend met een digitale handtekening van Microsoft.
Voor alle ondersteunde x86-versies van Windows 7

BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Scecli.dll6.1.7600.20617175,61614-Jan-201007:37x86
Sceregvl.infNiet van toepassing14,96114-Jan-201003:59Niet van toepassing
Secrecs.infNiet van toepassing9,16014-Jan-201003:59Niet van toepassing
Voor alle ondersteunde x64-versies van Windows 7 en Windows Server 2008 R2

BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Scecli.dll6.1.7600.20617232,96014-Jan-201008:15x64
Sceregvl.infNiet van toepassing14,96114-Jan-201004:19Niet van toepassing
Secrecs.infNiet van toepassing9,16014-Jan-201004:19Niet van toepassing
Scecli.dll6.1.7600.20617175,61614-Jan-201007:37x86
Voor alle ondersteunde IA-64-versies van Windows Server 2008 R2

BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Scecli.dll6.1.7600.20617474,11214-Jan-201006:58IA-64
Sceregvl.infNiet van toepassing14,96114-Jan-201003:31Niet van toepassing
Secrecs.infNiet van toepassing9,16014-Jan-201003:31Niet van toepassing
Scecli.dll6.1.7600.20617175,61614-Jan-201007:37x86

Tijdelijke oplossing


U kunt dit probleem omzeilen, het voorvoegsel voor de serviceaccounts handmatig toevoegen door het bewerken van het bestand GptTmpl.inf.
  • Voor de IIS-identiteiten toevoegen het voorvoegsel "IIS-AppPool\". Hier volgen enkele voorbeelden van een IIS-identiteit:
    • DefaultAppPool
    • Classic .NET AppPool
  • Namen voor de Windows-service en namen van de SQL Server-service, Voeg het voorvoegsel 'NT service'. Hier volgen enkele voorbeelden van de naam van een Windows-service en de naam van een SQL Server-service:
    • WdiServiceHost
    • MSSQLSERVER
    • MSSQLFDLauncher
Opmerking Het is raadzaam dat u deze hotfix installeert om dit probleem te verhelpen.

Status


Microsoft heeft bevestigd dat dit probleem kan optreden in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'.

Meer informatie


Deze hotfix lost dit probleem voor het voorvoegsel "IIS-AppPool\". Als u het bestand GptTmpl.inf in de volgende gerelateerde map opent, ziet u sommige servicenamen in plaats van de SID's van:
%SYSTEMROOT%\SYSVOL\ < domeinnaam > \Policies\ < UID > \Machine\Microsoft\Windows NT\SecEdit

Hier volgt een voorbeeld van enkele onopgeloste Servicenamen die zijn gevonden in het bestand GptTmpl.inf:

[Privilege Rights] SeAssignPrimaryTokenPrivilege = WdiServiceHost,*S-1-5-20,*S-1-5-19,DefaultAppPool,Classic .NET AppPool,MSSQLSERVER,MSSQLFDLauncher
SeChangeNotifyPrivilege = WdiServiceHost,*S-1-5-32-554,*S-1-5-11,*S-1-5-32-544,*S-1-5-20,*S-1-5-19,*S-1-1- 0,MSSQLSERVER,MSSQLFDLauncher
SeAuditPrivilege = DefaultAppPool,*S-1-5-19,*S-1-5-20,Classic .NET AppPool

Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

975566 SceCli 1202-gebeurtenissen worden geregistreerd wanneer instellingen voor Groepsbeleid voor computers worden vernieuwd op een computer waarop Windows Server 2008 of Windows Vista

Voor meer informatie over terminologie voor software-updates klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

824684 beschrijving van de standaardterminologie die wordt gebruikt om software-updates voor Microsoft te beschrijven

Aanvullende bestandsinformatie

Aanvullende bestandsinformatie voor Windows 7 en Windows Server 2008 R2

Extra bestanden voor alle ondersteunde x86-versies van Windows 7

BestandsnaamUpdate.mum
BestandsversieNiet van toepassing
Bestandsgrootte1,674
Datum (UTC)15-Jan-2010
Tijd (UTC)00:05
PlatformNiet van toepassing
BestandsnaamX86_4b23d6171b29fe190f750dbfdff5a3c8_31bf3856ad364e35_6.1.7600.20617_none_c6c85e7ef28644ad.manifest
BestandsversieNiet van toepassing
Bestandsgrootte733
Datum (UTC)15-Jan-2010
Tijd (UTC)00:05
PlatformNiet van toepassing
BestandsnaamX86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_38bb891e53520db2.manifest
BestandsversieNiet van toepassing
Bestandsgrootte70,644
Datum (UTC)14-Jan-2010
Tijd (UTC)08:05
PlatformNiet van toepassing
Extra bestanden voor alle ondersteunde x64-versies van Windows 7 en Windows Server 2008 R2

BestandsnaamAmd64_8331c794b0ea1624f2d703935632f539_31bf3856ad364e35_6.1.7600.20617_none_6f4a74113706c5bf.manifest
BestandsversieNiet van toepassing
Bestandsgrootte737
Datum (UTC)15-Jan-2010
Tijd (UTC)00:05
PlatformNiet van toepassing
BestandsnaamAmd64_a429a62f5dfe97d159700bc70cb9194b_31bf3856ad364e35_6.1.7600.20617_none_f8dbb49ab59a5dd2.manifest
BestandsversieNiet van toepassing
Bestandsgrootte737
Datum (UTC)15-Jan-2010
Tijd (UTC)00:05
PlatformNiet van toepassing
BestandsnaamAmd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_94da24a20baf7ee8.manifest
BestandsversieNiet van toepassing
Bestandsgrootte70,648
Datum (UTC)14-Jan-2010
Tijd (UTC)08:53
PlatformNiet van toepassing
BestandsnaamUpdate.mum
BestandsversieNiet van toepassing
Bestandsgrootte2,328
Datum (UTC)15-Jan-2010
Tijd (UTC)00:05
PlatformNiet van toepassing
BestandsnaamWow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_9f2ecef4401040e3.manifest
BestandsversieNiet van toepassing
Bestandsgrootte68,202
Datum (UTC)14-Jan-2010
Tijd (UTC)07:52
PlatformNiet van toepassing
Extra bestanden voor alle ondersteunde IA-64-versies van Windows Server 2008 R2

BestandsnaamIa64_318432fa0b83986063b79144bea75ebd_31bf3856ad364e35_6.1.7600.20617_none_5a784932fdc5c7f2.manifest
BestandsversieNiet van toepassing
Bestandsgrootte735
Datum (UTC)15-Jan-2010
Tijd (UTC)00:05
PlatformNiet van toepassing
BestandsnaamIa64_a429a62f5dfe97d159700bc70cb9194b_31bf3856ad364e35_6.1.7600.20617_none_9cbebd0cfd3af598.manifest
BestandsversieNiet van toepassing
Bestandsgrootte736
Datum (UTC)15-Jan-2010
Tijd (UTC)00:05
PlatformNiet van toepassing
BestandsnaamIa64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_38bd2d14535016ae.manifest
BestandsversieNiet van toepassing
Bestandsgrootte70,646
Datum (UTC)14-Jan-2010
Tijd (UTC)08:33
PlatformNiet van toepassing
BestandsnaamUpdate.mum
BestandsversieNiet van toepassing
Bestandsgrootte1,684
Datum (UTC)15-Jan-2010
Tijd (UTC)00:05
PlatformNiet van toepassing
BestandsnaamWow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_9f2ecef4401040e3.manifest
BestandsversieNiet van toepassing
Bestandsgrootte68,202
Datum (UTC)14-Jan-2010
Tijd (UTC)07:52
PlatformNiet van toepassing