Симптомы
Рассмотрим следующий сценарий:
- На компьютере под управлением Windows Server 2008 R2 или Windows 7 используйте редактор управления групповыми политиками для управления объекта групповой политики (GPO).
- Некоторые изменения параметров Назначение прав пользователя в объекте групповой Политики и эти параметры имеют SID каждой службы определены.
- Экспорт и Импорт политики, который имеет параметр назначения прав пользователей через консоль управления групповой политикой (GPMC).
- Выполняется изменение управления групповой политикой с помощью расширенного политики управления Групповыми политиками.
- Следующее событие SceCli 1202 добавляется в журнал приложения:
- Некоторые приложения и некоторые службы не запускаются. Этих приложений и служб с помощью SID каждой службы для настройки некоторых параметров безопасности.
- Некоторые службы не запускаются на контроллере домена под управлением Windows Server 2008 R2. Примером службы, которая не удается запустить является служба узла системы диагностики.
- Некоторые SQL Server функции, такие как функции репликации не работают при попытке выполнить изменения учетной записи функции или функции попробуйте выполнить изменения в настройках разрешений папки.
- Некоторые функции в служб (IIS) 7.5 не работают.
Причина
Когда редактор управления групповыми политиками изменяет параметры в разделе Назначение прав пользователя, он преобразует идентификаторы SID каждой службы для службы имен. Например имя службы «WdiServiceHost».
Редактор управления групповыми политиками не добавляет префикс «Службы NT» или «IIS AppPool» имя службы, при выполнении поиска в внутреннего домена «Службы NT» или внутреннего домена «IIS AppPool». Когда редактор управления групповыми политиками записывает ранее разбора имени файла GptTmpl.inf, редактора управления групповой политикой пытается разрешить имя службы для домена Active Directory по умолчанию. Тем не менее эта попытка завершится неудачей. Кроме того строка имени службы записывается файл GptTmpl.inf, а не код SID каждой службы. Такое поведение заменяет SID каждой службы имя службы.
При следующем обновлении политики обновления пытается разрешить имя службы для SID. Тем не менее обновление принимает имя пользователя или учетной записи группы. Поэтому такое поведение происходит сбой и появляется следующее сообщение об ошибке:
Редактор управления групповыми политиками не добавляет префикс «Службы NT» или «IIS AppPool» имя службы, при выполнении поиска в внутреннего домена «Службы NT» или внутреннего домена «IIS AppPool». Когда редактор управления групповыми политиками записывает ранее разбора имени файла GptTmpl.inf, редактора управления групповой политикой пытается разрешить имя службы для домена Active Directory по умолчанию. Тем не менее эта попытка завершится неудачей. Кроме того строка имени службы записывается файл GptTmpl.inf, а не код SID каждой службы. Такое поведение заменяет SID каждой службы имя службы.
При следующем обновлении политики обновления пытается разрешить имя службы для SID. Тем не менее обновление принимает имя пользователя или учетной записи группы. Поэтому такое поведение происходит сбой и появляется следующее сообщение об ошибке:
0x534 «сопоставление имен учетных записей и идентификаторы безопасности было работы»
Решение
Сведения об исправлении
Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте это исправление только в тех случаях, когда наблюдается проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.Если исправление доступно для скачивания, имеется раздел "Пакет исправлений доступен для скачивания" в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.
Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Чтобы получить полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание, посетите следующий веб-сайт корпорации Майкрософт:Примечание. В форме "Пакет исправлений доступен для скачивания" отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.
Предварительные условия
Для установки этого исправления на компьютере должна быть установлена Windows 7 или Windows Server 2008 R2.Инструкция по установке
Исправление автоматически устранить неполадки. После установки этого исправления необходимо вручную добавить соответствующий префикс службы один раз. Чтобы сделать это, используйте процедуру в разделе «Временное решение».Необходимость перезагрузки
После установки исправления компьютер необходимо перезагрузить.Сведения о замене исправлений
Это обновление заменяет ранее выпущенные исправления 974639974639 SceCli 1202 событий каждый раз при обновлении параметров групповой политики компьютера на компьютере под управлением Windows Server 2008 R2 или Windows 7
Сведения о файлах
Английский (США) версия данного исправления устанавливает файлы с атрибутами, указанными в приведенных ниже таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени (DST). Кроме того, при выполнении определенных операций с файлами, даты и время могут изменяться.Примечания к сведениям о файлах Windows 7 и Windows Server 2008 R2
Важно. Исправления для Windows Server 2008 R2 и Windows 7 включены в одни и те же пакеты. Однако исправления на странице запроса исправлений перечислены под обеими операционными системами. Чтобы запросить пакет исправления, который применяется к одной или обеим ОС, установите исправление, описанное в разделе "Windows 7/Windows Server 2008 R2" страницы. Всегда смотрите раздел "Информация в данной статье относится к следующим продуктам" статьи для определения фактических операционных систем, к которым применяется каждое исправление.- Файлы MANIFEST (.manifest) и MUM (.mum), устанавливаемые для каждой среды, указаны отдельно в разделе "Сведения о дополнительных файлах для Windows Server 2008 R2 и Windows 7". MUM и файлы МАНИФЕСТА и связанные файлы каталога безопасности (.cat), очень важны для поддержания состояния обновляемого компонента. Файлы каталога безопасности, для которых не перечислены атрибуты, подписаны цифровой подписью корпорации Майкрософт.
Для всех поддерживаемых 86-разрядных версий Windows 7
| Имя файла | Версия файла | Размер файла | Дата | Время | Платформа |
|---|---|---|---|---|---|
| Scecli.dll | 6.1.7600.20617 | 175,616 | 14-Jan-2010 | 07:37 | x86 |
| Sceregvl.inf | Неприменимо | 14,961 | 14-Jan-2010 | 03:59 | Неприменимо |
| Secrecs.inf | Неприменимо | 9,160 | 14-Jan-2010 | 03:59 | Неприменимо |
Для всех поддерживаемых 64-разрядных версий Windows 7 и Windows Server 2008 R2
| Имя файла | Версия файла | Размер файла | Дата | Время | Платформа |
|---|---|---|---|---|---|
| Scecli.dll | 6.1.7600.20617 | 232,960 | 14-Jan-2010 | 08:15 | x64 |
| Sceregvl.inf | Неприменимо | 14,961 | 14-Jan-2010 | 04:19 | Неприменимо |
| Secrecs.inf | Неприменимо | 9,160 | 14-Jan-2010 | 04:19 | Неприменимо |
| Scecli.dll | 6.1.7600.20617 | 175,616 | 14-Jan-2010 | 07:37 | x86 |
Для всех поддерживаемых версий Windows Server 2008 R2 для систем на базе процессоров IA-64
| Имя файла | Версия файла | Размер файла | Дата | Время | Платформа |
|---|---|---|---|---|---|
| Scecli.dll | 6.1.7600.20617 | 474,112 | 14-Jan-2010 | 06:58 | IA-64 |
| Sceregvl.inf | Неприменимо | 14,961 | 14-Jan-2010 | 03:31 | Неприменимо |
| Secrecs.inf | Неприменимо | 9,160 | 14-Jan-2010 | 03:31 | Неприменимо |
| Scecli.dll | 6.1.7600.20617 | 175,616 | 14-Jan-2010 | 07:37 | x86 |
Временное решение
Чтобы обойти эту проблему, добавьте префикс для учетных записей служб вручную, отредактировав файл GptTmpl.inf.
- Для удостоверений служб IIS добавьте префикс «IIS AppPool\». Ниже приведены некоторые примеры удостоверением IIS.
- DefaultAppPool
- Классический .NET AppPool
- Имена служб Windows и имена служб SQL Server, добавьте префикс «Службы NT». Ниже приведены некоторые примеры Windows имя службы и имя службы SQL Server.
- WdiServiceHost
- MSSQLSERVER
- MSSQLFDLauncher
Статус
Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе "Относится к".
Дополнительные сведения
Это исправление устраняет эту проблему для префикса «IIS AppPool\». Если открыть файл GptTmpl.inf в следующую папку групповой политики связанных, найти некоторые имена служб вместо идентификаторы SID:
\Machine\Microsoft\Windows NT\SecEdit \Policies\ < уникальный идентификатор > < имя_домена > %SystemRoot%\SYSVOL\
Ниже приведен пример некоторые нерешенные службы имен, которые найдены в файле GptTmpl.inf:[Privilege Rights] SeAssignPrimaryTokenPrivilege = WdiServiceHost,*S-1-5-20,*S-1-5-19,DefaultAppPool,Classic .NET AppPool,MSSQLSERVER,MSSQLFDLauncherДля получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
SeChangeNotifyPrivilege = WdiServiceHost,*S-1-5-32-554,*S-1-5-11,*S-1-5-32-544,*S-1-5-20,*S-1-5-19,*S-1-1- 0,MSSQLSERVER,MSSQLFDLauncher
SeAuditPrivilege = DefaultAppPool,*S-1-5-19,*S-1-5-20,Classic .NET AppPool
975566 SceCli 1202 событий каждый раз при обновлении параметров групповой политики компьютера на компьютере под управлением Windows Server 2008 или Windows Vista
Для получения дополнительных сведений о терминологии обновлений программного обеспечения щелкните следующий номер статьи базы знаний Майкрософт:Описание 824684 Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт
Сведения о дополнительных файлах
Сведения о дополнительных файлах для Windows 7 и Windows Server 2008 R2
Дополнительные файлы для всех поддерживаемых 86-разрядных версий Windows 7
| Имя файла | Update.mum |
| Версия файла | Неприменимо |
| Размер файла | 1,674 |
| Дата (UTC) | 15-Jan-2010 |
| Время (UTC) | 00:05 |
| Платформа | Неприменимо |
| Имя файла | X86_4b23d6171b29fe190f750dbfdff5a3c8_31bf3856ad364e35_6.1.7600.20617_none_c6c85e7ef28644ad.manifest |
| Версия файла | Неприменимо |
| Размер файла | 733 |
| Дата (UTC) | 15-Jan-2010 |
| Время (UTC) | 00:05 |
| Платформа | Неприменимо |
| Имя файла | X86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_38bb891e53520db2.manifest |
| Версия файла | Неприменимо |
| Размер файла | 70,644 |
| Дата (UTC) | 14-Jan-2010 |
| Время (UTC) | 08:05 |
| Платформа | Неприменимо |
Дополнительные файлы для всех поддерживаемых 64-разрядных версий Windows 7 и Windows Server 2008 R2
| Имя файла | Amd64_8331c794b0ea1624f2d703935632f539_31bf3856ad364e35_6.1.7600.20617_none_6f4a74113706c5bf.manifest |
| Версия файла | Неприменимо |
| Размер файла | 737 |
| Дата (UTC) | 15-Jan-2010 |
| Время (UTC) | 00:05 |
| Платформа | Неприменимо |
| Имя файла | Amd64_a429a62f5dfe97d159700bc70cb9194b_31bf3856ad364e35_6.1.7600.20617_none_f8dbb49ab59a5dd2.manifest |
| Версия файла | Неприменимо |
| Размер файла | 737 |
| Дата (UTC) | 15-Jan-2010 |
| Время (UTC) | 00:05 |
| Платформа | Неприменимо |
| Имя файла | Amd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_94da24a20baf7ee8.manifest |
| Версия файла | Неприменимо |
| Размер файла | 70,648 |
| Дата (UTC) | 14-Jan-2010 |
| Время (UTC) | 08:53 |
| Платформа | Неприменимо |
| Имя файла | Update.mum |
| Версия файла | Неприменимо |
| Размер файла | 2,328 |
| Дата (UTC) | 15-Jan-2010 |
| Время (UTC) | 00:05 |
| Платформа | Неприменимо |
| Имя файла | Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_9f2ecef4401040e3.manifest |
| Версия файла | Неприменимо |
| Размер файла | 68,202 |
| Дата (UTC) | 14-Jan-2010 |
| Время (UTC) | 07:52 |
| Платформа | Неприменимо |
Дополнительные файлы для всех поддерживаемых версий Windows Server 2008 R2 с архитектурой IA-64
| Имя файла | Ia64_318432fa0b83986063b79144bea75ebd_31bf3856ad364e35_6.1.7600.20617_none_5a784932fdc5c7f2.manifest |
| Версия файла | Неприменимо |
| Размер файла | 735 |
| Дата (UTC) | 15-Jan-2010 |
| Время (UTC) | 00:05 |
| Платформа | Неприменимо |
| Имя файла | Ia64_a429a62f5dfe97d159700bc70cb9194b_31bf3856ad364e35_6.1.7600.20617_none_9cbebd0cfd3af598.manifest |
| Версия файла | Неприменимо |
| Размер файла | 736 |
| Дата (UTC) | 15-Jan-2010 |
| Время (UTC) | 00:05 |
| Платформа | Неприменимо |
| Имя файла | Ia64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_38bd2d14535016ae.manifest |
| Версия файла | Неприменимо |
| Размер файла | 70,646 |
| Дата (UTC) | 14-Jan-2010 |
| Время (UTC) | 08:33 |
| Платформа | Неприменимо |
| Имя файла | Update.mum |
| Версия файла | Неприменимо |
| Размер файла | 1,684 |
| Дата (UTC) | 15-Jan-2010 |
| Время (UTC) | 00:05 |
| Платформа | Неприменимо |
| Имя файла | Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_9f2ecef4401040e3.manifest |
| Версия файла | Неприменимо |
| Размер файла | 68,202 |
| Дата (UTC) | 14-Jan-2010 |
| Время (UTC) | 07:52 |
| Платформа | Неприменимо |