Rozwiązywanie problemów związanych ze zdarzeniami 1202 SCECLI

Streszczenie

W tym artykule są opisane sposoby rozwiązywania problemów ze zdarzeniami SCECLI 1202.

Więcej informacji

Pierwszym krokiem w rozwiązywaniu problemów związanych z tymi zdarzeniami jest zidentyfikowanie kodu błędu Win32. Kod błędu wskazuje rodzaj awarii wywołującej zdarzenie SCECLI 1202. Poniżej podano przykład zdarzenia SCECLI 1202. Kod błędu znajduje się w polu Opis. W tym przykładzie kod błędu to 0x534. Tekst następujący po kodzie błędu stanowi opis błędu. Po określeniu kodu błędu znajdź poświęconą mu sekcję w tym artykule i postępuj zgodnie z krokami procedury rozwiązywania problemów znajdującymi się w tej sekcji.

0x534: Nie zostało wykonane mapowanie między nazwami kont a identyfikatorami zabezpieczeń.
-lub-
0x6fc: Relacje zaufania między domeną podstawową a domeną zaufaną nie powiodły się.

Te kody błędu oznaczają, że podczas przypisywania konta zabezpieczeń do identyfikatora zabezpieczeń (SID) wystąpił błąd. Zazwyczaj zdarza się to, ponieważ nazwa konta została błędnie wpisana lub konto zostało usunięte po dodaniu go do ustawień zasad zabezpieczeń. Te kody błędów pojawiają się zwykle w sekcji Prawa użytkownika lub Grupy z ograniczeniami ustawień zasad zabezpieczeń. Może się to również zdarzyć, gdy konto istnieje w zaufanym obszarze, a relacja zaufania jest przerywana.

Aby rozwiązać ten problem, wykonaj następujące kroki:
 1. Określ konto, które powoduje błąd. W tym celu włącz rejestrowanie debugowania dla rozszerzenia konfiguracji zabezpieczeń po stronie klienta. Aby to zrobić:
  1. Uruchom Edytora Rejestru.
  2. Zlokalizuj i kliknij następujący podklucz Rejestru:
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
  3. W menu Edycja kliknij polecenie Dodaj wartość, a następnie dodaj następującą wartość rejestru:
   Nazwa wartości: ExtensionDebugLevel
   Typ danych: DWORD
   Dane wartości: 2
  4. Zamknij Edytora Rejestru.
 2. Odśwież ustawienia zasad i spróbuj odtworzyć błąd. Aby odświeżyć ustawienia zasad, wpisz następujące polecenie w wierszu polecenia i naciśnij klawisz ENTER:
  secedit /refreshpolicy machine_policy /enforce
  Spowoduje to utworzenie pliku o nazwie Winlogon.log w folderze %SYSTEMROOT%\Security\Logs.
 3. Znajdź konto powodujące problem. Aby to zrobić, wpisz następujące polecenie w wierszu polecenia, a następnie naciśnij klawisz ENTER:
  find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
  Polecenie Find umożliwia znalezienie nazw kont powodujących problem: na przykład „Nie można odnaleźć EwaLesiak”. W tym przypadku konto użytkownika EwaLesiak nie istnieje w domenie lub ma inną pisownię, na przykład EwaLesik.

  Określ, dlaczego nie można rozpoznać tego konta. Sprawdź, czy nazwa zawiera błędy typograficzne, konto nie zostało usunięte, czy dla komputera jest stosowana odpowiednia zasada lub czy wystąpił problem związany z zaufaniem.
 4. Jeżeli stwierdzisz, że konto musi być usunięte z zasady, znajdź zasadę, a następnie ustawienie powodujące problem. Aby określić ustawienie zawierające nierozpoznane konto, wpisz następujące polecenie w wierszu polecenia na komputerze, na którym występuje zdarzenie SCECLI 1202, a następnie naciśnij klawisz ENTER:
  c:\>find /i "nazwa konta" %SYSTEMROOT%\security\templates\policies\gpt*.*
  W tym przykładzie składnia i wyniki są następujące:
  c:\>find /i "EwaLesiak" %SYSTEMROOT%\security\templates\policies\gpt*.*
  ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM

  ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF

  ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
  SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,EwaLesiak,
  *S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548

  ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
  Pozwala to zidentyfikować plik GPT00002.inf jako buforowany szablon zabezpieczeń z obiektu zasad grupy (GPO), który zawiera ustawienie powodujące problem. Ustawienie powodujące problem to prawo SeInteractiveLogonRight. Nazwa wyświetlana dla prawa SeInteractiveLogonRight to „Logowanie lokalne”.

  Lista stałych (na przykład SeInteractiveLogonRight) z ich nazwami wyświetlanymi (na przykład Logowanie lokalne) jest dostępna w zestawie Microsoft Windows 2000 Server Resource Kit, w dokumencie „Distributed Systems Guide”. Lista znajduje się w sekcji „Prawa użytkownika” w Dodatku.
 5. Określ, który obiekt zasad grupy zawiera ustawienie powodujące problem. Wyszukaj w buforowanym szablonie zabezpieczeń zidentyfikowany w kroku 4 ciąg „GPOPath=”. W tym przykładzie zostanie wyszukany następujący ciąg:
  GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
  Między ciągiem „GPOPath=” a „\MACHINE” znajduje się identyfikator GUID obiektu zasad grupy.
 6. Aby znaleźć przyjazną nazwę obiektu zasad grupy, użyj narzędzia Gpotool.exe z zestawu Resource Kit. Wpisz następujące polecenie w wierszu polecenia, a następnie naciśnij klawisz ENTER:
  gpotool /verbose
  Przeszukaj dane wynikowe otrzymane dla identyfikatora GUID określonego w kroku 5. Cztery wiersze następujące po identyfikatorze GUID zawierają przyjazną nazwę zasady. Na przykład:
  Zasada {6AC1786C-016F-11D2-945F-00C04FB984F9}
  Zasada OK
  Szczegóły:
  ------------------------------------------------------------
  DC: domcntlr1.wingtiptoys.com
  Przyjazna nazwa: Domyślne zasady kontrolera domeny
Konto, ustawienie oraz obiekt GPO powodujące problem zostały już zidentyfikowane. Aby rozwiązać problem, usuń lub zastąp wpis powodujący problem.

0x2: Nie można odnaleźć określonego pliku.

Ten błąd jest podobny do błędów 0x534 oraz 0x6fc, ponieważ jest spowodowany przez nierozpoznaną nazwę konta. Błąd 0x2 oznacza zwykle, że określono nierozpoznaną nazwę konta w ustawieniach zasady Grupy z ograniczeniami.

Aby rozwiązać ten problem, wykonaj następujące kroki:
 1. Określ, która usługa lub obiekt uległy awarii. Aby to zrobić, włącz rejestrowanie debugowania dla rozszerzenia konfiguracji zabezpieczeń po stronie klienta. W tym celu:
  1. Uruchom Edytora Rejestru.
  2. Zlokalizuj i kliknij następujący podklucz Rejestru:
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
  3. W menu Edycja kliknij polecenie Dodaj wartość, a następnie dodaj następującą wartość Rejestru:
   Nazwa wartości: ExtensionDebugLevel
   Typ danych: DWORD
   Dane wartości: 2
  4. Zamknij Edytora Rejestru.
 2. Odśwież ustawienia zasad i spróbuj odtworzyć błąd. Aby odświeżyć ustawienia zasad, wpisz następujące polecenie w wierszu polecenia i naciśnij klawisz ENTER:
  secedit /refreshpolicy machine_policy /enforce
  Spowoduje to utworzenie pliku o nazwie Winlogon.log w folderze %SYSTEMROOT%\Security\Logs.
 3. W wierszu polecenia wpisz następujące polecenie, a następnie naciśnij klawisz ENTER:
  find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
  Polecenie Find umożliwia znalezienie nazw kont powodujących problem: na przykład „Nie można odnaleźć EwaLesiak”. W tym przypadku konto użytkownika EwaLesiak nie istnieje w domenie lub ma inną pisownię, na przykład EwaLesik.

  Określ, dlaczego nie można rozpoznać tego konta. Sprawdź, czy nazwa zawiera błędy typograficzne, konto nie zostało usunięte, czy dla komputera jest stosowana odpowiednia zasada lub czy wystąpił problem związany z zaufaniem.
 4. Jeżeli stwierdzisz, że konto musi być usunięte z zasady, znajdź zasadę, a następnie ustawienie powodujące problem. Aby określić ustawienie zawierające nierozpoznane konto, wpisz następujące polecenie w wierszu polecenia na komputerze, na którym występuje zdarzenie SCECLI 1202, a następnie naciśnij klawisz ENTER:
  c:\>find /i "nazwa konta" %SYSTEMROOT%\security\templates\policies\gpt*.*
  W tym przykładzie składnia i wyniki są następujące:
  c:\>find /i "EwaLesiak" %SYSTEMROOT%\security\templates\policies\gpt*.*
  ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM

  ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF

  ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
  SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MarcinFlisak,
  *S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548

  ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
  Pozwala to zidentyfikować plik GPT00002.inf jako buforowany szablon zabezpieczeń z obiektu zasad grupy (GPO), który zawiera ustawienie powodujące problem. Ustawienie powodujące problem to SeInteractiveLogonRight. Nazwa wyświetlana ustawienia SeInteractiveLogonRight to „Logowanie lokalne”.

  Lista stałych (na przykład SeInteractiveLogonRight) z ich nazwami wyświetlanymi (na przykład Logowanie lokalne) jest dostępna w zestawie Microsoft Windows 2000 Server Resource Kit, w dokumencie „Distributed Systems Guide”. Lista znajduje się w sekcji „Prawa użytkownika” w Dodatku.
 5. Określ, który obiekt zasad grupy zawiera ustawienie powodujące problem. Wyszukaj w buforowanym szablonie zabezpieczeń zidentyfikowany w kroku 4 ciąg „GPOPath=”. W tym przykładzie zostanie wyszukany następujący ciąg:
  GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
  Między ciągiem „GPOPath=” a „\MACHINE” znajduje się identyfikator GUID obiektu zasad grupy.
 6. Aby znaleźć przyjazną nazwę obiektu zasad grupy, użyj narzędzia Gpotool.exe z zestawu Resource Kit. Wpisz następujące polecenie w wierszu polecenia, a następnie naciśnij klawisz ENTER:
  gpotool /verbose
  Przeszukaj dane wynikowe otrzymane dla identyfikatora GUID określonego w kroku 5. Cztery wiersze następujące po identyfikatorze GUID zawierają przyjazną nazwę zasady. Na przykład:
  Zasada {6AC1786C-016F-11D2-945F-00C04FB984F9}
  Zasada OK
  Szczegóły:
  ------------------------------------------------------------
  DC: domcntlr1.wingtiptoys.com
  Przyjazna nazwa: Domyślne zasady kontrolera domeny

Konto, ustawienie oraz obiekt GPO powodujące problem zostały już zidentyfikowane. Aby rozwiązać problem, wyszukaj w sekcji Grupy z ograniczeniami zasad zabezpieczeń wystąpienia konta powodującego problem (w tym przypadku EwaLesiak), a następnie usuń lub zastąp wpis powodujący problem.

0x5: Odmowa dostępu.

Ten błąd zazwyczaj pojawia się, gdy systemowi nie udzielono poprawnych uprawnień do aktualizowania listy kontroli dostępu usługi. Problem ten może wystąpić, gdy administrator określi uprawnienia dla usługi w zasadzie, ale nie udzieli dla konta System uprawnień Pełna kontrola.

Aby rozwiązać ten problem, wykonaj następujące kroki:
 1. Określ, która usługa lub obiekt uległy awarii. Aby to zrobić, włącz rejestrowanie debugowania dla rozszerzenia konfiguracji zabezpieczeń ze strony klienta. W tym celu:
  1. Uruchom Edytora Rejestru.
  2. Zlokalizuj i kliknij następujący podklucz Rejestru:
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
  3. W menu Edycja kliknij polecenie Dodaj wartość, a następnie dodaj następującą wartość rejestru:
   Nazwa wartości: ExtensionDebugLevel
   Typ danych: DWORD
   Dane wartości: 2
  4. Zamknij Edytora Rejestru.
 2. Odśwież ustawienia zasad i spróbuj odtworzyć błąd. Aby odświeżyć ustawienia zasad, wpisz następujące polecenie w wierszu polecenia i naciśnij klawisz ENTER:
  secedit /refreshpolicy machine_policy /enforce
  Spowoduje to utworzenie pliku o nazwie Winlogon.log w folderze %SYSTEMROOT%\Security\Logs.
 3. W wierszu polecenia wpisz następujące polecenie, a następnie naciśnij klawisz ENTER:
  find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.log
  Polecenie Find umożliwia określenie usługi ze źle skonfigurowanymi uprawnieniami, na przykład „Wystąpił błąd podczas otwierania pamięci dnscache”. „Dnscache” to krótka nazwa dla usługi klienta DNS.
 4. Sprawdź, która zasada lub które zasady próbują modyfikować uprawnienia usługi. Aby to zrobić, wpisz następujące polecenie w wierszu polecenia, a następnie naciśnij klawisz ENTER:
  find /i "usługa" %SYSTEMROOT%\security\templates\policies\gpt*.*".
  Poniżej podany jest przykład polecenia oraz jego dane wyjściowe:
  d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.*

  ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM

  ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF

  ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
  Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)"

  ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
 5. Określ, który obiekt zasad grupy zawiera ustawienie powodujące problem. Wyszukaj w buforowanym szablonie zabezpieczeń zidentyfikowany w kroku 4 ciąg „GPOPath=”. W tym przykładzie zostanie wyszukany następujący ciąg.
  GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
  Między ciągiem „GPOPath=” a „\MACHINE” znajduje się identyfikator GUID obiektu zasad grupy.
 6. Aby znaleźć przyjazną nazwę obiektu zasad grupy, użyj narzędzia Gpotool.exe z zestawu Resource Kit. Wpisz następujące polecenie w wierszu polecenia, a następnie naciśnij klawisz ENTER:
  gpotool /verbose
  Przeszukaj dane wynikowe otrzymane dla identyfikatora GUID określonego w kroku 5. Cztery wiersze następujące po identyfikatorze GUID zawierają przyjazną nazwę zasady. Na przykład:
  Zasada {6AC1786C-016F-11D2-945F-00C04FB984F9}
  Zasada OK
  Szczegóły:
  ------------------------------------------------------------
  DC: domcntlr1.wingtiptoys.com
  Przyjazna nazwa: Domyślne zasady kontrolera domeny
Usługa ze źle skonfigurowanymi uprawnieniami oraz obiekt GPO powodujący problem zostały zidentyfikowane. Aby rozwiązać problem, wyszukaj sekcję Usługi systemowe zasad zabezpieczeń wystąpienia usługi ze źle skonfigurowanymi uprawnieniami, a następnie udziel dla konta System uprawnienia Pełna kontrola dla tej usługi.

0x4b8: Wystąpił błąd rozszerzony.

Błąd 0x4b8 jest ogólny i może mieć wiele przyczyn. Aby rozwiązać te błędy, wykonaj następujące kroki:
 1. Włącz rejestrowanie debugowania dla rozszerzenia konfiguracji zabezpieczeń ze strony klienta. Aby to zrobić:
  1. Uruchom Edytora Rejestru.
  2. Zlokalizuj i kliknij następujący podklucz Rejestru:
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
  3. W menu Edycja kliknij polecenie Dodaj wartość, a następnie dodaj następującą wartość rejestru:
   Nazwa wartości: ExtensionDebugLevel
   Typ danych: DWORD
   Dane wartości: 2
  4. Zamknij Edytora Rejestru.
 2. Odśwież ustawienia zasad i spróbuj odtworzyć błąd. Aby odświeżyć ustawienia zasad, wpisz następujące polecenie w wierszu polecenia i naciśnij klawisz ENTER:
  secedit /refreshpolicy machine_policy /enforce
  Spowoduje to utworzenie pliku o nazwie Winlogon.log w folderze %SYSTEMROOT%\Security\Logs.
 3. Zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base. W artykułach opisano znane problemy wywołujące błąd 0x4b8. Kliknij numery następujących artykułów w celu wyświetlenia ich z bazy wiedzy Microsoft Knowledge Base:
  260715 Event ID 1000 and 1202 After Configuring Policies
  278316 Identyfikatory zdarzeń ESENT 1000, 1202, 412 i 454 są często rejestrowane w dzienniku zdarzeń aplikacji
Właściwości

Identyfikator artykułu: 324383 — ostatni przegląd: 12.04.2006 — zmiana: 1

Opinia