Symptomen
Overweeg het volgende scenario:
-
Op een computer waarop Windows Server 2008 R2 of Windows 7 wordt uitgevoerd, kunt u de Editor voor Groepsbeleidsbeheer een groepsbeleidsobject (GPO).
-
Veel wijzigingen zijn aangebracht in de instellingen in het groepsbeleidsobject voor 'Toewijzing van gebruiksrecht' en deze instellingen hebben een SID per service gedefinieerd.
In dit scenario is wanneer het groepsbeleid wordt toegepast, treden de volgende problemen:
-
Een 1202 SceCli gebeurtenis toegevoegd aan het logboek voor toepassingsgebeurtenissen:
Hier volgt een voorbeeld van een logboekvermelding SceCli 1202: -
Sommige toepassingen of services kunnen niet worden gestart. Deze toepassingen of services gebruiken de SID per service om beveiligingsinstellingen te configureren.
Bijvoorbeeld:-
U kunt Active Directory Domain Services installeren op een lidserver met Windows Server 2008 R2.
-
U aanbrengt een wijziging in de 'Toewijzing van gebruiksrecht' instelling in een groepsbeleidsobject vanaf een computer waarop Windows Server 2008 R2 of Windows 7 wordt uitgevoerd.
-
Dit groepsbeleidsobject wordt toegepast op de domeincontroller waarop Windows Server 2008 R2 wordt uitgevoerd.
In dit geval optreedt het probleem. Sommige services, zoals de "Diagnostisch systeem Host"-service starten niet omdat het probleem.
-
Oorzaak
Wanneer de Editor voor Groepsbeleidsbeheer instellingen onder Toewijzing van gebruikersrechtwijzigt, vertaalt per service-SID aan de servicenamen. Bijvoorbeeld "WdiSystemHost" naam van de service.
De Editor voor Groepsbeleidsbeheer wordt niet het voorvoegsel 'NT Service' toegevoegd aan de naam van de service voor het uitvoeren van de zoekactie in het interne domein voor "NT Service". Als u de Editor voor Groepsbeleidsbeheer schrijft de eerder verdeelde naam terug in het bestand GptTmpl.inf, probeert op te lossen, alleen de naam "WdiSystemHost" ten opzichte van de standaard Active Directory-domein. Echter, dit niet lukt. Ook wordt de tekenreeks "WdiSystemHost" geschreven naar het bestand GptTmpl.inf in plaats van de SID. Dit gedrag vervangt de per-service SID door de servicenaam.
Wanneer de volgende beleidsvernieuwing optreedt, probeert de vernieuwing van de naam van de service omzetten in een SID alsof het gebruikers- of groepsaccount. Maar mislukt dit met de fout 0x534 'geen toewijzing tussen accountnamen en beveiligings-id's is gedaan."
Oplossing
Opmerking De hotfix lost niet automatisch problemen met dit probleem. Nadat u deze hotfix hebt toegepast, moet u 'NT SERVICE\' rechtstreeks in het bestand GptTmpl.inf handmatig toevoegen. U moet bijvoorbeeld 'WdiSystemHost' met 'NT SERVICE\WdiSystemHost' vervangen met behulp van de Editor voor lokaal groepsbeleid.
Een ondersteunde hotfix is beschikbaar bij Microsoft. Deze hotfix is echter alleen bedoeld voor het probleem dat wordt beschreven in dit artikel. Voer deze hotfix alleen uit op systemen waarop de in dit artikel beschreven problemen zich voordoen. Deze hotfix moet wellicht extra worden getest. Als u geen ernstige hinder ondervindt van dit probleem, is het daarom raadzaam te wachten op de volgende update waarin deze hotfix is opgenomen.
Als de hotfix gedownload kan worden, is er een sectie 'Hotfix downloaden' aan het begin van dit Knowledge Base-artikel. Als deze sectie niet wordt weergegeven, neem dan contact op met Microsoft Customer Service and Support om de hotfix te verkrijgen.
Opmerking Als er andere problemen optreden of als probleemoplossing is vereist, moet u wellicht een apart serviceverzoek indienen. De normale ondersteuningskosten gelden voor extra ondersteuningsvragen en problemen die niet in aanmerking komen voor deze specifieke hotfix. Voor een volledige lijst met telefoonnummers van Microsoft Customer Service and Support of een afzonderlijk serviceverzoek maken, gaat u naar de volgende Microsoft-website:
http://support.microsoft.com/contactus/?ws=supportOpmerking Het formulier 'Hotfix kan worden gedownload' geeft de talen weer waarvoor de hotfix beschikbaar is. Als uw taal niet wordt weergegeven, is dit omdat een hotfix niet voor die taal beschikbaar is.
Vereisten
Deze hotfix moet op de computer een van de volgende besturingssystemen worden uitgevoerd:
-
Windows 7
-
Windows Server 2008 R2
Opnieuw opstarten
Nadat u deze hotfix hebt geïnstalleerd, moet u de computer opnieuw opstarten.
Informatie over het vervangen van hotfixes
Deze hotfix vervangt geen andere hotfixes.
Bestandsinformatie
De Engelse versie van deze hotfix heeft de bestandskenmerken (of recentere bestandskenmerken) die in de volgende tabel worden weergegeven. De datums en tijden voor deze bestanden worden weergegeven in Coordinated Universal Time (UTC). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Om het verschil tussen UTC en lokale tijd te vinden, gebruik de
Tijdzone
tabblad de
Datum en tijd
een item in het Configuratiescherm.
Voor alle ondersteunde x86-versies van Windows 7
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Platform |
---|---|---|---|---|---|
Scecli.dll |
6.1.7600.20527 |
175,616 |
15-Sep-2009 |
05:59 |
x86 |
Sceregvl.inf |
Niet van toepassing |
14,961 |
15-Sep-2009 |
02:18 |
Niet van toepassing |
Secrecs.inf |
Niet van toepassing |
9,160 |
15-Sep-2009 |
02:18 |
Niet van toepassing |
Voor alle ondersteunde Itanium-versies van Windows Server 2008 R2
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Platform |
---|---|---|---|---|---|
Scecli.dll |
6.1.7600.20527 |
473,088 |
15-Sep-2009 |
04:56 |
IA-64 |
Sceregvl.inf |
Niet van toepassing |
14,961 |
15-Sep-2009 |
01:51 |
Niet van toepassing |
Secrecs.inf |
Niet van toepassing |
9,160 |
15-Sep-2009 |
01:51 |
Niet van toepassing |
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Platform |
---|---|---|---|---|---|
Scecli.dll |
6.1.7600.20527 |
175,616 |
15-Sep-2009 |
05:59 |
x86 |
Voor alle ondersteunde versies van Windows Server 2008 R2 en Windows 7 op basis van x64
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Platform |
---|---|---|---|---|---|
Scecli.dll |
6.1.7600.20527 |
232,448 |
15-Sep-2009 |
06:38 |
x64 |
Sceregvl.inf |
Niet van toepassing |
14,961 |
15-Sep-2009 |
02:25 |
Niet van toepassing |
Secrecs.inf |
Niet van toepassing |
9,160 |
15-Sep-2009 |
02:25 |
Niet van toepassing |
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Platform |
---|---|---|---|---|---|
Scecli.dll |
6.1.7600.20527 |
175,616 |
15-Sep-2009 |
05:59 |
x86 |
Status
Microsoft heeft bevestigd dat dit probleem kan optreden in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'.
Meer informatie
Nadat het probleem zich voordoet, wordt het volgende foutbericht naar het bestand Winlogon.log toegevoegd:
1332 fout: Er is geen toewijzing tussen accountnamen en beveiligings-id's is gedaan. Kan < naam > niet vinden.
Opmerking Het bestand Winlogon.log bevindt zich in de volgende map:
%windir%\security\logs
Als u het bestand GptTmpl.inf in de volgende gerelateerde map opent, kunt u sommige namen van SQL service vinden:
%SYSTEMROOT%\SYSVOL\ < domeinnaam.com > \Policies\ < UID > \Machine\Microsoft\Windows NT\SecEdit
Hier volgt een voorbeeld van de WDI Servicenamen die zijn gevonden in het bestand GptTmpl.inf:
[Rechten]
SeAssignPrimaryTokenPrivilege = WdiServiceHost,*S-1-5-20,*S-1-5-19
SeChangeNotifyPrivilege = WdiServiceHost,*S-1-5-32-554,*S-1-5-11,*S-1-5-32-544,*S-1-5-20,*S-1-5-19,*S-1-1-0
Opmerking De hotfix lost niet automatisch problemen met dit probleem. Nadat u deze hotfix hebt toegepast, moet u 'NT SERVICE\' rechtstreeks in het bestand GptTmpl.inf handmatig toevoegen. U moet bijvoorbeeld 'WdiSystemHost' met 'NT SERVICE\WdiSystemHost' vervangen met behulp van de Editor voor lokaal groepsbeleid.
Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:
824684 beschrijving van de standaardterminologie die wordt gebruikt om software-updates voor Microsoft te beschrijven
Aanvullende bestandsinformatie voor Windows Server 2008 R2 en Windows 7
Extra bestanden voor alle ondersteunde x86-versies van Windows 7
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Platform |
---|---|---|---|---|---|
Package_for_kb974639_rtm~31bf3856ad364e35~x86~~6.1.1.0.mum |
Niet van toepassing |
1,947 |
15-Sep-2009 |
13:35 |
Niet van toepassing |
X86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_38b0b74c535a2c7c.manifest |
Niet van toepassing |
70,644 |
15-Sep-2009 |
06:32 |
Niet van toepassing |
Extra bestanden voor alle ondersteunde Itanium-versies van Windows Server 2008 R2
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Platform |
---|---|---|---|---|---|
Ia64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_38b25b4253583578.manifest |
Niet van toepassing |
70,646 |
15-Sep-2009 |
06:53 |
Niet van toepassing |
Package_for_kb974639_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mum |
Niet van toepassing |
1,958 |
15-Sep-2009 |
13:35 |
Niet van toepassing |
Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_9f23fd2240185fad.manifest |
Niet van toepassing |
68,202 |
15-Sep-2009 |
06:16 |
Niet van toepassing |
Aanvullende bestanden voor alle ondersteunde versies van Windows Server 2008 R2 en Windows 7 op basis van x64
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Platform |
---|---|---|---|---|---|
Amd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_94cf52d00bb79db2.manifest |
Niet van toepassing |
70,648 |
15-Sep-2009 |
08:50 |
Niet van toepassing |
Package_for_kb974639_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mum |
Niet van toepassing |
2,879 |
15-Sep-2009 |
13:35 |
Niet van toepassing |
Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_9f23fd2240185fad.manifest |
Niet van toepassing |
68,202 |
15-Sep-2009 |
06:16 |
Niet van toepassing |