Objawy
Rozważ następujący scenariusz:
-
Na komputerze, na którym jest uruchomiony system Windows Server 2008 R2 lub Windows 7 służy Edytor zarządzania zasady grupy do zarządzania obiekt zasady grupy (GPO).
-
Wiele zmian ustawień "Przypisywanie praw użytkownika" w obiekcie zasad grupy i ustawienia te mają identyfikatora SID na usługi zdefiniowane.
W tym scenariuszu gdy zasady grupy jest stosowany, mogą wystąpić następujące problemy:
-
Zdarzenie SceCli 1202 jest dodawane do dziennika zdarzeń aplikacji:Oto przykładowy wpis dziennika zdarzeń SceCli 1202:
-
Niektóre aplikacje lub usługi nie można uruchomić. Te aplikacje lub usługi umożliwia skonfigurowanie ustawień zabezpieczeń SID na usługę.Na przykład:
-
Usługi domenowe w usłudze Active Directory można zainstalować na serwerze członkowskim z systemem Windows Server 2008 R2.
-
Zmiany ustawień "Przypisywanie praw użytkownika" w obiekcie zasad grupy z komputera, na którym jest uruchomiony system Windows Server 2008 R2 lub Windows 7.
-
Ten obiekt zasad grupy jest stosowany do kontrolera domeny z systemem Windows Server 2008 R2.
W tej sytuacji występuje ten problem. Niektóre usługi, takie jak usługa "Host systemu diagnostyki" nie można uruchomić z powodu problemu.
-
Przyczyna
Gdy Edytor zarządzania zasady grupy modyfikuje ustawień w obszarze Przypisywanie praw użytkownika, tłumaczy SID na usługę do nazw usług. Na przykład nazwa usługi "WdiSystemHost".Edytor zarządzania zasady grupy nie dodaje prefiks "Usługi NT" do nazwy usługi do wyszukiwania w domenie wewnętrznej "Usługi NT". Gdy Edytor zarządzania zasady grupy zapisuje nazwy uprzednio zostały przeanalizowane wstecz do pliku GptTmpl.inf, próbuje rozpoznać nazwę w "WdiSystemHost" w domenie usługi Active Directory domyślny. Jednak ta próba nie powiedzie się. Dodatkowo ciąg "WdiSystemHost" są zapisywane do pliku GptTmpl.inf zamiast identyfikatora SID. To zachowanie zamienia identyfikator SID pojedynczej usługi nazwa usługi.Gdy wystąpi po odświeżeniu zasad, odświeżania próbuje rozpoznać nazwę usługi do identyfikatora SID, tak jakby był użytkownika lub konto grupy. Jednakże to nie wraz z 0x534 błąd "Brak mapowania między nazwami kont a identyfikatorami zabezpieczeń dokonano".
Rozwiązanie
Uwaga Poprawka nie automatycznie rozwiązuje ten problem. Po zastosowaniu tej poprawki należy ręcznie dołączyć "NT SERVICE\" bezpośrednio w pliku GptTmpl.inf. Na przykład "WdiSystemHost" z "NT SERVICE\WdiSystemHost" należy zastąpić za pomocą Edytora lokalnych zasady grupy.Obsługiwana poprawka jest udostępniana przez firmę Microsoft. Jednak ta poprawka jest przeznaczona tylko do usunięcia problemu opisanego w tym artykule. Zastosuj poprawkę tylko w systemach, w których występuje problem opisany w tym artykule. Ta poprawka może być wciąż w fazie testowania. Jeśli dany system nie jest poważnie narażony na ten problem, firma Microsoft zaleca, aby poczekać na następną aktualizację oprogramowania zawierającą tę poprawkę.Jeśli poprawka jest dostępna do pobrania, pojawi się sekcja "Poprawka dostępna do pobrania" na początku tego artykułu z bazy wiedzy Knowledge Base. Jeśli nie ma tej sekcji, skontaktuj się z Obsługą i Wsparciem Klienta Microsoft w celu uzyskania poprawki.Uwaga Jeśli wystąpią dodatkowe błędy lub konieczność rozwiązania problemu, być może trzeba będzie utworzyć osobne zlecenie usługi. Zwykłe koszty obsługi będą zastosowane do dodatkowych pytań i problemów, których nie można rozwiązać przy użyciu określonej poprawki. Aby uzyskać pełną listę numerów telefonów pomocy technicznej i obsługi klienta firmy Microsoft lub utworzyć osobne zlecenie usługi, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://support.microsoft.com/contactus/?ws=supportUwaga "Poprawka dostępna do pobrania" zawiera listę języków, dla których dostępna jest poprawka. Jeśli odpowiedni język nie jest widoczny, to dlatego, że poprawka nie jest dostępna dla danego języka.
Wymagania wstępne
Aby zastosować tę poprawkę, na komputerze musi działać jeden z następujących systemów operacyjnych:
-
Windows 7
-
Windows Server 2008 R2
Wymagania dotyczące ponownego uruchomienia
Po zastosowaniu tej poprawki należy ponownie uruchomić komputer.
Informacje dotyczące zastępowania poprawek
Ta poprawka nie zastępuje żadnych innych poprawek.
Informacje o plikach
Wersja anglojęzyczna tej poprawki ma atrybuty plików (lub nowsze) wymienione w poniższej tabeli. Daty i godziny odpowiadające tym plikom zostały podane w formacie uniwersalnego czasu koordynowanego (UTC, Coordinated Universal Time). Po wyświetleniu informacji o pliku są konwertowane na czas lokalny. Aby zobaczyć różnicę między czasem UTC i czasem lokalnym, należy użyćStrefa czasowaw zakładceData i godzinaelement w Panelu sterowania.
Wszystkie obsługiwane wersje systemu Windows 7 x86
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
|---|---|---|---|---|---|
|
Scecli.dll |
6.1.7600.20527 |
175,616 |
15-Sep-2009 |
05:59 |
x86 |
|
Sceregvl.inf |
Nie dotyczy |
14,961 |
15-Sep-2009 |
02:18 |
Nie dotyczy |
|
Secrecs.inf |
Nie dotyczy |
9,160 |
15-Sep-2009 |
02:18 |
Nie dotyczy |
Wszystkie obsługiwane wersje z procesorem Itanium systemu Windows Server 2008 R2
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
|---|---|---|---|---|---|
|
Scecli.dll |
6.1.7600.20527 |
473,088 |
15-Sep-2009 |
04:56 |
IA-64 |
|
Sceregvl.inf |
Nie dotyczy |
14,961 |
15-Sep-2009 |
01:51 |
Nie dotyczy |
|
Secrecs.inf |
Nie dotyczy |
9,160 |
15-Sep-2009 |
01:51 |
Nie dotyczy |
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
|---|---|---|---|---|---|
|
Scecli.dll |
6.1.7600.20527 |
175,616 |
15-Sep-2009 |
05:59 |
x86 |
Wszystkie obsługiwane wersje x64-bitowych systemu Windows Server 2008 R2 i Windows 7
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
|---|---|---|---|---|---|
|
Scecli.dll |
6.1.7600.20527 |
232,448 |
15-Sep-2009 |
06:38 |
x64 |
|
Sceregvl.inf |
Nie dotyczy |
14,961 |
15-Sep-2009 |
02:25 |
Nie dotyczy |
|
Secrecs.inf |
Nie dotyczy |
9,160 |
15-Sep-2009 |
02:25 |
Nie dotyczy |
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
|---|---|---|---|---|---|
|
Scecli.dll |
6.1.7600.20527 |
175,616 |
15-Sep-2009 |
05:59 |
x86 |
Stan
Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji „Dotyczy”.
Więcej informacji
Po wystąpieniu problemu, następujący błąd jest dodawany do pliku Winlogon.log:
Błąd 1332: Brak mapowania między nazwami kont a identyfikatorami zabezpieczeń zostało zrobione. Nie można odnaleźć < nazwa usługi >.
Uwaga Plik Winlogon.log jest zlokalizowany w następującym folderze:
%windir%\security\logsJeśli otworzysz plik GptTmpl.inf w folderze następujące zasady grupy pokrewnych można znaleźć niektóre nazwy usługi SQL:
%SYSTEMROOT%\SYSVOL\ < nazwa_domeny.com > \Policies\ < Unikatowy identyfikator > \Machine\Microsoft\Windows NT\SecEditOto przykład WDI nazw usług, które znajdują się w pliku GptTmpl.inf:
[Uprawnienia]SeAssignPrimaryTokenPrivilege = WdiServiceHost,*S-1-5-20,*S-1-5-19SeChangeNotifyPrivilege = WdiServiceHost,*S-1-5-32-554,*S-1-5-11,*S-1-5-32-544,*S-1-5-20,*S-1-5-19,*S-1-1-0Uwaga Poprawka nie automatycznie rozwiązuje ten problem. Po zastosowaniu tej poprawki należy ręcznie dołączyć "NT SERVICE\" bezpośrednio w pliku GptTmpl.inf. Na przykład "WdiSystemHost" z "NT SERVICE\WdiSystemHost" należy zastąpić za pomocą Edytora lokalnych zasady grupy.Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
824684 Opis standardowej terminologii używanej do opisywania aktualizacji oprogramowania firmy Microsoft
Informacje o dodatkowych plikach dla systemu Windows Server 2008 R2 i Windows 7
Dodatkowe pliki dla wszystkich obsługiwanych wersji systemu Windows 7 z procesorami x86
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
|---|---|---|---|---|---|
|
Package_for_kb974639_rtm~31bf3856ad364e35~x86~~6.1.1.0.mum |
Nie dotyczy |
1 947 |
15-Sep-2009 |
13:35 |
Nie dotyczy |
|
X86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_38b0b74c535a2c7c.manifest |
Nie dotyczy |
70,644 |
15-Sep-2009 |
06:32 |
Nie dotyczy |
Dodatkowe pliki dla wszystkich obsługiwanych wersji z procesorem Itanium systemu Windows Server 2008 R2
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
|---|---|---|---|---|---|
|
Ia64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_38b25b4253583578.manifest |
Nie dotyczy |
70,646 |
15-Sep-2009 |
06:53 |
Nie dotyczy |
|
Package_for_kb974639_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mum |
Nie dotyczy |
1.958 |
15-Sep-2009 |
13:35 |
Nie dotyczy |
|
Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_9f23fd2240185fad.manifest |
Nie dotyczy |
68,202 |
15-Sep-2009 |
06:16 |
Nie dotyczy |
Dodatkowe pliki dla wszystkich obsługiwanych x64-bitowych wersji systemu Windows Server 2008 R2 i Windows 7
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
|---|---|---|---|---|---|
|
Amd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_94cf52d00bb79db2.manifest |
Nie dotyczy |
70,648 |
15-Sep-2009 |
08:50 |
Nie dotyczy |
|
Package_for_kb974639_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mum |
Nie dotyczy |
2,879 |
15-Sep-2009 |
13:35 |
Nie dotyczy |
|
Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_9f23fd2240185fad.manifest |
Nie dotyczy |
68,202 |
15-Sep-2009 |
06:16 |
Nie dotyczy |
