Sintomas
Considere o seguinte cenário:
-
Num computador que esteja a executar o Windows Server 2008 R2 ou o Windows 7, utilize o Editor de gestão de política de grupo para gerir um objecto de política de grupo (GPO).
-
Muitas alterações são efectuadas as definições de "User Rights Assignment" no GPO e estas definições têm um SID por serviço definidas.
Neste cenário, quando é aplicada a política de grupo, poderá detectar os seguintes problemas:
-
Um evento SceCli 1202 é adicionado ao registo de eventos de aplicações:
Segue-se um exemplo de uma entrada de registo de eventos SceCli 1202: -
Algumas aplicações ou serviços não podem iniciar. Estas aplicações ou serviços utilizam o SID de por serviço para configurar definições de segurança.
Por exemplo:-
Instalar serviços de domínio do Active Directory num servidor membro baseado no Windows Server 2008 R2.
-
Efectuar uma alteração à definição de "User Rights Assignment" num GPO a partir de um computador que esteja a executar o Windows Server 2008 R2 ou o Windows 7.
-
Este GPO é aplicado ao controlador de domínio que esteja a executar o Windows Server 2008 R2.
Nesta situação, ocorre o problema. Alguns serviços, tais como o serviço "Anfitrião do sistema de diagnóstico" não podem iniciar devido o problema.
-
Causa
Quando o Editor de gestão da política de grupo modifica as definições de Atribuição de direitos de utilizador, converte por serviço SID para os nomes de serviço. Por exemplo, o nome do serviço "WdiSystemHost".
O Editor de gestão da política de grupo não adiciona o prefixo "Serviço de NT" ao nome do serviço para efectuar a pesquisa no domínio interno "NT Service". Quando o Editor de gestão da política de grupo escreve o nome anteriormente analisado novamente para o ficheiro GptTmpl, tenta resolver o nome de "WdiSystemHost" no domínio do Active Directory predefinido. No entanto, esta tentativa falhar. Além disso, a cadeia "WdiSystemHost" é escrita para o ficheiro GptTmpl em vez do SID. Este comportamento substitui o SID de por serviço com o nome do serviço.
Quando ocorre a seguinte actualização de política, a actualização tenta resolver o nome de serviço para um SID como se fosse uma conta de grupo ou utilizador. No entanto, este procedimento falhar juntamente com o erro 0x534 "qualquer mapeamento entre nomes de contas e IDs de segurança foi concluído".
Resolução
Nota A correcção não resolver este problema automaticamente. Depois de aplicar esta correcção, tem de acrescentar manualmente "Service NT \" directamente no ficheiro GptTmpl. Por exemplo, tem de substituir "WdiSystemHost" com "NT SERVICE\WdiSystemHost", utilizando o Editor de política de Grupo Local.
Existe uma correção suportada pela Microsoft. No entanto, esta correção destina-se apenas a corrigir o problema descrito neste artigo. Aplique esta correção apenas em sistemas que tenham o problema descrito neste artigo. Esta correcção poderá ser submetida a testes adicionais. Por conseguinte, se não estiver a ser gravemente afetado por este problema, recomendamos que aguarde pela próxima atualização de software que contenha esta correção.
Se a correcção estiver disponível para transferência, existirá uma secção de "Transferência de correcção disponível" na parte superior deste artigo da Base de dados de conhecimento. Se esta secção não for apresentada, contacte o Suporte ao Cliente da Microsoft para obter a correção.
Nota Caso ocorram problemas adicionais ou se for necessária a resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos de normais do suporte serão aplicados a questões de suporte adicional e problemas incluídos nesta correção específica. Para uma lista completa dos números de telefone de suporte e serviço de cliente da Microsoft ou para criar um pedido de assistência separado, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/contactus/?ws=supportNota O formulário "Transferência de correcção disponível" apresenta os idiomas nos quais a correcção está disponível. Se não visualizar o seu idioma, é porque uma correcção não está disponível para esse idioma.
Pré-requisitos
Para aplicar esta correcção, o computador tem de ter um dos seguintes sistemas operativos:
-
Windows 7
-
Windows Server 2008 R2
Requisito de reinício
Tem de reiniciar o computador depois de aplicar esta correcção.
Informações sobre substituição da correção
Esta correcção não substitui quaisquer outras correcções.
Informações de ficheiro
A versão inglesa desta correcção tem os atributos de ficheiro (ou atributos de ficheiro posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são listadas na hora Universal Coordenada (UTC). Quando visualiza as informações do ficheiro, é convertido para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize a
Fuso horário
separador na
Data e hora
item no painel de controlo.
Para todas as versões baseadas em x86 suportadas do Windows 7
|
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Scecli.dll |
6.1.7600.20527 |
175,616 |
15-Sep-2009 |
05:59 |
x86 |
|
Sceregvl.inf |
Não aplicável |
14,961 |
15-Sep-2009 |
02:18 |
Não aplicável |
|
Secrecs.inf |
Não aplicável |
9,160 |
15-Sep-2009 |
02:18 |
Não aplicável |
Para todas as edições suportadas baseadas em Itanium do Windows Server 2008 R2
|
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Scecli.dll |
6.1.7600.20527 |
473,088 |
15-Sep-2009 |
04:56 |
IA-64 |
|
Sceregvl.inf |
Não aplicável |
14,961 |
15-Sep-2009 |
01:51 |
Não aplicável |
|
Secrecs.inf |
Não aplicável |
9,160 |
15-Sep-2009 |
01:51 |
Não aplicável |
|
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Scecli.dll |
6.1.7600.20527 |
175,616 |
15-Sep-2009 |
05:59 |
x86 |
Para todas as versões baseadas em x64 do Windows Server 2008 R2 e do Windows 7
|
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Scecli.dll |
6.1.7600.20527 |
232,448 |
15-Sep-2009 |
06:38 |
x64 |
|
Sceregvl.inf |
Não aplicável |
14,961 |
15-Sep-2009 |
02:25 |
Não aplicável |
|
Secrecs.inf |
Não aplicável |
9,160 |
15-Sep-2009 |
02:25 |
Não aplicável |
|
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Scecli.dll |
6.1.7600.20527 |
175,616 |
15-Sep-2009 |
05:59 |
x86 |
Estado
A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".
Mais informações
Depois do problema ocorrer, é aditado o seguinte erro para o ficheiro Winlogon log:
Erro 1332: Foi efectuado qualquer mapeamento entre nomes de contas e IDs de segurança. Não é possível localizar o < nome do serviço >.
Nota O ficheiro Winlogon log está localizado na seguinte pasta:
%windir%\security\logs
Se abrir o ficheiro GptTmpl na seguinte pasta de política de grupo relacionada, encontrará alguns nomes de serviço SQL:
%SYSTEMROOT%\SYSVOL\ < n > \Policies\ < ID exclusivo > \Machine\Microsoft\Windows NT\SecEdit
Segue-se um exemplo dos nomes de serviço WDI que se encontram no ficheiro GptTmpl.:
[Privilégios]
SeAssignPrimaryTokenPrivilege = WdiServiceHost,*S-1-5-20,*S-1-5-19
SeChangeNotifyPrivilege = WdiServiceHost,*S-1-5-32-554,*S-1-5-11,*S-1-5-32-544,*S-1-5-20,*S-1-5-19,*S-1-1-0
Nota A correcção não resolver este problema automaticamente. Depois de aplicar esta correcção, tem de acrescentar manualmente "Service NT \" directamente no ficheiro GptTmpl. Por exemplo, tem de substituir "WdiSystemHost" com "NT SERVICE\WdiSystemHost", utilizando o Editor de política de Grupo Local.
Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Base de Dados de Conhecimento Microsoft
824684 descrição da terminologia padrão utilizada para descrever actualizações de software da Microsoft
Informações sobre ficheiros adicionais para Windows Server 2008 R2 e Windows 7
Ficheiros adicionais para todas as versões baseadas em x86 suportadas do Windows 7
|
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Package_for_kb974639_rtm~31bf3856ad364e35~x86~~6.1.1.0.mum |
Não aplicável |
1,947 |
15-Sep-2009 |
13:35 |
Não aplicável |
|
X86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_38b0b74c535a2c7c.manifest |
Não aplicável |
70,644 |
15-Sep-2009 |
06:32 |
Não aplicável |
Ficheiros adicionais para todas as versões baseadas em Itanium do Windows Server 2008 R2 suportadas
|
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Ia64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_38b25b4253583578.manifest |
Não aplicável |
70,646 |
15-Sep-2009 |
06:53 |
Não aplicável |
|
Package_for_kb974639_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mum |
Não aplicável |
1,958 |
15-Sep-2009 |
13:35 |
Não aplicável |
|
Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_9f23fd2240185fad.manifest |
Não aplicável |
68,202 |
15-Sep-2009 |
06:16 |
Não aplicável |
Ficheiros adicionais para todas as suportadas versões baseadas em x64 do Windows Server 2008 R2 e do Windows 7
|
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Amd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_94cf52d00bb79db2.manifest |
Não aplicável |
70,648 |
15-Sep-2009 |
08:50 |
Não aplicável |
|
Package_for_kb974639_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mum |
Não aplicável |
2,879 |
15-Sep-2009 |
13:35 |
Não aplicável |
|
Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_9f23fd2240185fad.manifest |
Não aplicável |
68,202 |
15-Sep-2009 |
06:16 |
Não aplicável |
