Rejestrowane są zdarzenia SceCli 1202 za każdym razem komputera zasady grupy ustawienia są odświeżane na komputerze, na którym jest uruchomiony system Windows Server 2008 R2 lub Windows 7


Objawy


Rozważ następujący scenariusz:

  • Na komputerze, na którym jest uruchomiony system Windows Server 2008 R2 lub Windows 7 służy Edytor zarządzania zasady grupy do zarządzania obiekt zasady grupy (GPO).
  • Wiele zmian ustawień "Przypisywanie praw użytkownika" w obiekcie zasad grupy i ustawienia te mają identyfikatora SID na usługi zdefiniowane.
W tym scenariuszu gdy zasady grupy jest stosowany, mogą wystąpić następujące problemy:
  • Zdarzenie SceCli 1202 jest dodawane do dziennika zdarzeń aplikacji:

    Oto przykładowy wpis dziennika zdarzeń SceCli 1202:
  • Niektóre aplikacje lub usługi nie można uruchomić. Te aplikacje lub usługi umożliwia skonfigurowanie ustawień zabezpieczeń SID na usługę.

    Na przykład:
    1. Usługi domenowe w usłudze Active Directory można zainstalować na serwerze członkowskim z systemem Windows Server 2008 R2.
    2. Zmiany ustawień "Przypisywanie praw użytkownika" w obiekcie zasad grupy z komputera, na którym jest uruchomiony system Windows Server 2008 R2 lub Windows 7.
    3. Ten obiekt zasad grupy jest stosowany do kontrolera domeny z systemem Windows Server 2008 R2.
    W tej sytuacji występuje ten problem. Niektóre usługi, takie jak usługa "Host systemu diagnostyki" nie można uruchomić z powodu problemu.

Przyczyna


Gdy Edytor zarządzania zasady grupy modyfikuje ustawień w obszarze Przypisywanie praw użytkownika, tłumaczy SID na usługę do nazw usług. Na przykład nazwa usługi "WdiSystemHost".

Edytor zarządzania zasady grupy nie dodaje prefiks "Usługi NT" do nazwy usługi do wyszukiwania w domenie wewnętrznej "Usługi NT". Gdy Edytor zarządzania zasady grupy zapisuje nazwy uprzednio zostały przeanalizowane wstecz do pliku GptTmpl.inf, próbuje rozpoznać nazwę w "WdiSystemHost" w domenie usługi Active Directory domyślny. Jednak ta próba nie powiedzie się. Dodatkowo ciąg "WdiSystemHost" są zapisywane do pliku GptTmpl.inf zamiast identyfikatora SID. To zachowanie zamienia identyfikator SID pojedynczej usługi nazwa usługi.



Gdy wystąpi po odświeżeniu zasad, odświeżania próbuje rozpoznać nazwę usługi do identyfikatora SID, tak jakby był użytkownika lub konto grupy. Jednakże to nie wraz z 0x534 błąd "Brak mapowania między nazwami kont a identyfikatorami zabezpieczeń dokonano".

Rozwiązanie


Uwaga Poprawka nie automatycznie rozwiązuje ten problem. Po zastosowaniu tej poprawki należy ręcznie dołączyć "NT SERVICE\" bezpośrednio w pliku GptTmpl.inf. Na przykład "WdiSystemHost" z "NT SERVICE\WdiSystemHost" należy zastąpić za pomocą Edytora lokalnych zasady grupy.

Obsługiwana poprawka jest udostępniana przez firmę Microsoft. Jednak ta poprawka jest przeznaczona tylko do usunięcia problemu opisanego w tym artykule. Zastosuj poprawkę tylko w systemach, w których występuje problem opisany w tym artykule. Ta poprawka może być wciąż w fazie testowania. Jeśli dany system nie jest poważnie narażony na ten problem, firma Microsoft zaleca, aby poczekać na następną aktualizację oprogramowania zawierającą tę poprawkę.

Jeśli poprawka jest dostępna do pobrania, pojawi się sekcja "Poprawka dostępna do pobrania" na początku tego artykułu z bazy wiedzy Knowledge Base. Jeśli nie ma tej sekcji, skontaktuj się z Obsługą i Wsparciem Klienta Microsoft w celu uzyskania poprawki.

Uwaga Jeśli wystąpią dodatkowe błędy lub konieczność rozwiązania problemu, być może trzeba będzie utworzyć osobne zlecenie usługi. Zwykłe koszty obsługi będą zastosowane do dodatkowych pytań i problemów, których nie można rozwiązać przy użyciu określonej poprawki. Aby uzyskać pełną listę numerów telefonów pomocy technicznej i obsługi klienta firmy Microsoft lub utworzyć osobne zlecenie usługi, odwiedź następującą witrynę firmy Microsoft w sieci Web:Uwaga "Poprawka dostępna do pobrania" zawiera listę języków, dla których dostępna jest poprawka. Jeśli odpowiedni język nie jest widoczny, to dlatego, że poprawka nie jest dostępna dla danego języka.

Wymagania wstępne

Aby zastosować tę poprawkę, na komputerze musi działać jeden z następujących systemów operacyjnych:
  • Windows 7
  • Windows Server 2008 R2

Wymagania dotyczące ponownego uruchomienia


Po zastosowaniu tej poprawki należy ponownie uruchomić komputer.

Informacje dotyczące zastępowania poprawek


Ta poprawka nie zastępuje żadnych innych poprawek.

Informacje o plikach


Wersja anglojęzyczna tej poprawki ma atrybuty plików (lub nowsze) wymienione w poniższej tabeli. Daty i godziny odpowiadające tym plikom zostały podane w formacie uniwersalnego czasu koordynowanego (UTC, Coordinated Universal Time). Po wyświetleniu informacji o pliku są konwertowane na czas lokalny. Aby zobaczyć różnicę między czasem UTC i czasem lokalnym, należy użyć
Strefa czasowa
w zakładce
Data i godzina
element w Panelu sterowania.


Wszystkie obsługiwane wersje systemu Windows 7 x86
Nazwa plikuWersja plikuRozmiar plikuDataGodzinaPlatforma
Scecli.dll6.1.7600.20527175,61615-Sep-200905:59x86
Sceregvl.infNie dotyczy14,96115-Sep-200902:18Nie dotyczy
Secrecs.infNie dotyczy9,16015-Sep-200902:18Nie dotyczy

Wszystkie obsługiwane wersje z procesorem Itanium systemu Windows Server 2008 R2
Nazwa plikuWersja plikuRozmiar plikuDataGodzinaPlatforma
Scecli.dll6.1.7600.20527473,08815-Sep-200904:56IA-64
Sceregvl.infNie dotyczy14,96115-Sep-200901:51Nie dotyczy
Secrecs.infNie dotyczy9,16015-Sep-200901:51Nie dotyczy
Nazwa plikuWersja plikuRozmiar plikuDataGodzinaPlatforma
Scecli.dll6.1.7600.20527175,61615-Sep-200905:59x86

Wszystkie obsługiwane wersje x64-bitowych systemu Windows Server 2008 R2 i Windows 7
Nazwa plikuWersja plikuRozmiar plikuDataGodzinaPlatforma
Scecli.dll6.1.7600.20527232,44815-Sep-200906:38x64
Sceregvl.infNie dotyczy14,96115-Sep-200902:25Nie dotyczy
Secrecs.infNie dotyczy9,16015-Sep-200902:25Nie dotyczy
Nazwa plikuWersja plikuRozmiar plikuDataGodzinaPlatforma
Scecli.dll6.1.7600.20527175,61615-Sep-200905:59x86


Stan


Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji „Dotyczy”.

Więcej informacji


Po wystąpieniu problemu, następujący błąd jest dodawany do pliku Winlogon.log:

Błąd 1332: Brak mapowania między nazwami kont a identyfikatorami zabezpieczeń zostało zrobione. Nie można odnaleźć < nazwa usługi >.


Uwaga Plik Winlogon.log jest zlokalizowany w następującym folderze:

%windir%\security\logs


Jeśli otworzysz plik GptTmpl.inf w folderze następujące zasady grupy pokrewnych można znaleźć niektóre nazwy usługi SQL:

%SYSTEMROOT%\SYSVOL\ < nazwa_domeny.com > \Policies\ < Unikatowy identyfikator > \Machine\Microsoft\Windows NT\SecEdit


Oto przykład WDI nazw usług, które znajdują się w pliku GptTmpl.inf:



[Uprawnienia]

SeAssignPrimaryTokenPrivilege = WdiServiceHost,*S-1-5-20,*S-1-5-19

SeChangeNotifyPrivilege = WdiServiceHost,*S-1-5-32-554,*S-1-5-11,*S-1-5-32-544,*S-1-5-20,*S-1-5-19,*S-1-1-0


Uwaga Poprawka nie automatycznie rozwiązuje ten problem. Po zastosowaniu tej poprawki należy ręcznie dołączyć "NT SERVICE\" bezpośrednio w pliku GptTmpl.inf. Na przykład "WdiSystemHost" z "NT SERVICE\WdiSystemHost" należy zastąpić za pomocą Edytora lokalnych zasady grupy.

Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

824684 Opis standardowej terminologii używanej do opisywania aktualizacji oprogramowania firmy Microsoft



Informacje o dodatkowych plikach dla systemu Windows Server 2008 R2 i Windows 7


Dodatkowe pliki dla wszystkich obsługiwanych wersji systemu Windows 7 z procesorami x86

Nazwa plikuWersja plikuRozmiar plikuDataGodzinaPlatforma
Package_for_kb974639_rtm~31bf3856ad364e35~x86~~6.1.1.0.mumNie dotyczy1 94715-Sep-200913:35Nie dotyczy
X86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_38b0b74c535a2c7c.manifestNie dotyczy70,64415-Sep-200906:32Nie dotyczy

Dodatkowe pliki dla wszystkich obsługiwanych wersji z procesorem Itanium systemu Windows Server 2008 R2

Nazwa plikuWersja plikuRozmiar plikuDataGodzinaPlatforma
Ia64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_38b25b4253583578.manifestNie dotyczy70,64615-Sep-200906:53Nie dotyczy
Package_for_kb974639_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mumNie dotyczy1.95815-Sep-200913:35Nie dotyczy
Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_9f23fd2240185fad.manifestNie dotyczy68,20215-Sep-200906:16Nie dotyczy

Dodatkowe pliki dla wszystkich obsługiwanych x64-bitowych wersji systemu Windows Server 2008 R2 i Windows 7

Nazwa plikuWersja plikuRozmiar plikuDataGodzinaPlatforma
Amd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_94cf52d00bb79db2.manifestNie dotyczy70,64815-Sep-200908:50Nie dotyczy
Package_for_kb974639_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mumNie dotyczy2,87915-Sep-200913:35Nie dotyczy
Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_9f23fd2240185fad.manifestNie dotyczy68,20215-Sep-200906:16Nie dotyczy