Solucionar problemas de eventos da SCECLI 1202
Este artigo descreve maneiras de solucionar problemas e resolve eventos da SCECLI 1202.
Aplica-se a: Windows Server 2012 R2
Número de KB original: 324383
Resumo
A primeira etapa na solução de problemas desses eventos é identificar o código de erro win32. Esse código de erro distingue o tipo de falha que causa o evento SCECLI 1202. Veja abaixo um exemplo de um evento SCECLI 1202. O código de erro é mostrado no campo Descrição . Neste exemplo, o código de erro é 0x534. O texto após o código de erro é a descrição do erro. Depois de determinar o código de erro, localize essa seção de código de erro neste artigo e siga as etapas de solução de problemas nessa seção.
0x534: nenhum mapeamento entre nomes de conta e IDs de segurança foi feito.
ou
0x6fc: falha na relação de confiança entre o domínio primário e o domínio confiável.
Código de erro 0x534: nenhum mapeamento entre nomes de conta e IDs de segurança foi feito
Esses códigos de erro significam que houve uma falha em resolve uma conta de segurança para um SID (identificador de segurança). O erro normalmente ocorre porque um nome de conta foi mal tipado ou porque a conta foi excluída depois que foi adicionada à configuração da política de segurança. Normalmente, ocorre na seção Direitos do Usuário ou na seção Grupos Restritos da configuração da política de segurança. Também pode ocorrer se a conta existir em uma confiança e, em seguida, a relação de confiança for quebrada.
Para resolver esse problema, siga estas etapas:
Determine a conta que está causando a falha. Para fazer isso, habilite o log de depuração para a extensão do lado do cliente da Configuração de Segurança:
Inicie o Editor do Registro.
Localize e selecione a seguinte subchave de Registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}No menu Editar , selecione Adicionar Valor e adicione o seguinte valor de registro:
- Nome do valor: ExtensionDebugLevel
- Tipo de dados: DWORD
- Dados de valor: 2
Saia do Editor do Registro.
Atualize as configurações de política para reproduzir a falha. Para atualizar as configurações de política, digite o seguinte comando no prompt de comando e pressione ENTER:
secedit /refreshpolicy machine_policy /enforceEsse comando cria um arquivo chamado Winlogon.log na
%SYSTEMROOT%\Security\Logspasta.Encontre a conta de problema. Para fazer isso, digite o seguinte comando no prompt de comando e pressione ENTER:
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.logA saída Localizar identifica os nomes da conta de problema, por exemplo, Não é possível localizar MichaelPeltier. Neste exemplo, a conta de usuário MichaelPeltier não existe no domínio. Ou tem uma ortografia diferente, como MichellePeltier.
Determine por que essa conta não pode ser resolvida. Por exemplo, procure erros tipográficos, uma conta excluída, a política errada que se aplica a este computador ou um problema de confiança.
Se você determinar que a conta deve ser removida da política, localize a política de problemas e a configuração do problema. Para determinar qual configuração contém a conta não resolvida, digite o seguinte comando no prompt de comando no computador que está produzindo o evento SCECLI 1202 e pressione ENTER:
c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*Para este exemplo, a sintaxe e os resultados são:
c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelPeltier,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMEle identifica GPT00002.inf como o modelo de segurança armazenado em cache do GPO (objeto Política de Grupo problema) que contém a configuração de problema. Ele também identifica a configuração de problema como SeInteractiveLogonRight. O nome de exibição para SeInteractiveLogonRight é Logon localmente.
Para obter um mapa das constantes (por exemplo, SeInteractiveLogonRight) para seus nomes de exibição (por exemplo, Logon localmente), consulte o Microsoft Windows 2000 Server Resource Kit, Distributed Systems Guide. O mapa está na seção Direitos do Usuário do Apêndice.
Determine qual GPO contém a configuração de problema. Pesquise o modelo de segurança em cache que você identificou na etapa 4 para obter o texto
GPOPath=. Neste exemplo, você verá:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04FB984F9} é o GUID do GPO.
Para encontrar o nome amigável do GPO, use o utilitário Resource Kit Gpotool.exe. Digite o seguinte comando no prompt de comando e pressione ENTER:
gpotool /verbosePesquise a saída do GUID que você identificou na etapa 5. As quatro linhas que seguem o GUID contêm o nome amigável da política. Por exemplo:
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Default Domain Controllers Policy
Agora você identificou a conta de problema, a configuração do problema e o GPO do problema. Para resolve o problema, remova ou substitua a entrada de problema.
Código de erro 0x2: o sistema não pode localizar o arquivo especificado
Esse erro é semelhante ao 0x534 e ao 0x6fc. É causado por um nome de conta irresolvível. Quando o erro 0x2 ocorre, normalmente indica que o nome da conta irresolvível é especificado em uma configuração de política grupos restritos.
Para resolver esse problema, siga estas etapas:
Determine qual serviço ou qual objeto está tendo a falha. Para fazer isso, habilite o log de depuração para a extensão do lado do cliente da Configuração de Segurança:
Inicie o Editor do Registro.
Localize e selecione a seguinte subchave de Registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}No menu Editar , selecione Adicionar Valor e adicione o seguinte valor de registro:
- Nome do valor: ExtensionDebugLevel
- Tipo de dados: DWORD
- Dados de valor: 2
Saia do Editor do Registro.
Atualize as configurações de política para reproduzir a falha. Para atualizar as configurações de política, digite o seguinte comando no prompt de comando e pressione ENTER:
secedit /refreshpolicy machine_policy /enforceEsse comando cria um arquivo chamado Winlogon.log na
%SYSTEMROOT%\Security\Logspasta.No prompt de comando, digite o seguinte comando e pressione ENTER:
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.logA saída Localizar identifica os nomes da conta de problema, por exemplo, Não é possível localizar MichaelPeltier. Neste exemplo, a conta de usuário MichaelPeltier não existe no domínio. Ou tem uma ortografia diferente , por exemplo, MichellePeltier.
Determine por que essa conta não pode ser resolvida. Por exemplo, procure erros tipográficos, uma conta excluída, a política errada aplicada a este computador ou um problema de confiança.
Se você determinar que a conta precisa ser removida da política, localize a política de problemas e a configuração do problema. Para localizar qual configuração contém a conta não resolvida, digite o seguinte comando no prompt de comando no computador que está produzindo o evento SCECLI 1202 e pressione ENTER:
c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*Para este exemplo, a sintaxe e os resultados são:
c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMEle identifica GPT00002.inf como o modelo de segurança armazenado em cache do GPO de problema que contém a configuração de problema. Ele também identifica a configuração de problema como SeInteractiveLogonRight. O nome de exibição para SeInteractiveLogonRight é Logon localmente.
Para obter um mapa das constantes (por exemplo, SeInteractiveLogonRight) para seus nomes de exibição (por exemplo, Logon localmente), consulte o Windows 2000 Server Resource Kit, Distributed Systems Guide. O mapa está na seção Direitos do Usuário do Apêndice.
Determine qual GPO contém a configuração de problema. Pesquise o modelo de segurança em cache que você identificou na etapa 4 para obter o texto
GPOPath=. Neste exemplo, você verá:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04FB984F9} é o GUID do GPO.
Para encontrar o nome amigável do GPO, use o utilitário Resource Kit Gpotool.exe. Digite o seguinte comando no prompt de comando e pressione ENTER:
gpotool /verbosePesquise a saída do GUID que você identificou na etapa 5. As quatro linhas que seguem o GUID contêm o nome amigável da política. Por exemplo:
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Default Domain Controllers Policy
Agora você identificou a conta de problema, a configuração do problema e o GPO do problema. Para resolve o problema, pesquise a seção Grupos Restritos da política de segurança em busca de instâncias da conta de problemas (neste exemplo, MichaelPeltier) e remova ou substitua a entrada de problema.
0x5 de código de erro: acesso negado
Esse erro normalmente ocorre quando o sistema não recebeu as permissões corretas para atualizar a lista de controle de acesso de um serviço. Isso pode ocorrer se o Administrador definir permissões para um serviço em uma política, mas não conceder permissões de Controle Total da conta do sistema.
Para resolver esse problema, siga estas etapas:
Determine qual serviço ou qual objeto está tendo a falha. Para fazer isso, habilite o log de depuração para a extensão do lado do cliente da Configuração de Segurança:
Inicie o Editor do Registro.
Localize e selecione a seguinte subchave de Registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}No menu Editar , selecione Adicionar Valor e adicione o seguinte valor de registro:
- Nome do valor: ExtensionDebugLevel
- Tipo de dados: DWORD
- Dados de valor: 2
Saia do Editor do Registro.
Atualize as configurações de política para reproduzir a falha. Para atualizar as configurações de política, digite o seguinte comando no prompt de comando e pressione ENTER:
secedit /refreshpolicy machine_policy /enforceEsse comando cria um arquivo chamado Winlogon.log na
%SYSTEMROOT%\Security\Logspasta.No prompt de comando, digite o seguinte e pressione ENTER:
find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.logA saída Localizar identifica o serviço com as permissões configuradas incorretamente, por exemplo, Dnscache de abertura de erro. Dnscache é o nome curto do serviço cliente DNS.
Descubra qual política ou quais políticas estão tentando modificar as permissões de serviço. Para fazer isso, digite o seguinte comando no prompt de comando e pressione ENTER:
find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*".Abaixo está um comando de exemplo e sua saída:
d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)" ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMDetermine qual GPO contém a configuração de problema. Pesquise o modelo de segurança em cache que você identificou na etapa 4 para obter o texto
GPOPath=. Neste exemplo, você verá:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04FB984F9} é o GUID do GPO.
Para encontrar o nome amigável do GPO, use o utilitário Resource Kit Gpotool.exe. Digite o seguinte comando no prompt de comando e pressione ENTER:
gpotool /verbosePesquise a saída do GUID que você identificou na etapa 5. As quatro linhas que seguem o GUID contêm o nome amigável da política. Por exemplo:
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Default Domain Controllers Policy
Agora você identificou o serviço com as permissões configuradas incorretamente e o GPO do problema. Para resolve o problema, pesquise a seção Serviços do Sistema da política de segurança em busca de instâncias do serviço com as permissões configuradas incorretamente. E, em seguida, tome medidas corretivas para conceder permissões de Controle Total da conta do sistema ao serviço.
0x4b8 de código de erro: ocorreu um erro estendido
O erro 0x4b8 é genérico e pode ser causado por muitos problemas diferentes. Para solucionar esses erros, siga estas etapas:
Habilitar o log de depuração para a extensão do lado do cliente da Configuração de Segurança:
Inicie o Editor do Registro.
Localize e selecione a seguinte subchave de Registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}No menu Editar , selecione Adicionar Valor e adicione o seguinte valor de registro:
- Nome do valor: ExtensionDebugLevel
- Tipo de dados: DWORD
- Dados de valor: 2
Saia do Editor do Registro.
Atualize as configurações de política para reproduzir a falha. Para atualizar as configurações de política, digite o seguinte comando no prompt de comando e pressione ENTER:
secedit /refreshpolicy machine_policy /enforceEsse comando cria um arquivo chamado Winlogon.log na
%SYSTEMROOT%\Security\Logspasta.Consulte IDs de evento ESENT 1000, 1202, 412 e 454 são registradas repetidamente no log do aplicativo. Este artigo descreve problemas conhecidos que causam o erro de 0x4b8.
Coleta de dados
Se você precisar de ajuda do suporte da Microsoft, é recomendável coletar as informações seguindo as etapas mencionadas em Coletar informações usando o TSS para Política de Grupo problemas.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de