Симптомы
Рассмотрим следующий сценарий:
-
На компьютере под управлением Windows Server 2008 R2 или Windows 7 используйте редактор управления групповыми политиками для управления объекта групповой политики (GPO).
-
Многие изменения параметров «Назначение прав пользователя» в объекте групповой Политики и эти параметры имеют SID каждой службы определены.
В этом случае при применении групповой политики, могут возникнуть следующие проблемы:
-
Событие SceCli 1202 добавляется в журнал событий приложений:
Ниже приведен пример записи в журнале событие SceCli 1202: -
Некоторые приложения и службы могут не запускаться. Эти приложения или службы с помощью SID каждой службы для настройки параметров безопасности.
Например:-
Установки доменных служб Active Directory на сервере под управлением Windows Server 2008 R2.
-
Вы измените значение для параметра «Назначение прав пользователя» в объекте групповой Политики с компьютера под управлением Windows Server 2008 R2 или Windows 7.
-
Этот объект групповой Политики применяется к контроллеру домена под управлением Windows Server 2008 R2.
В этом случае возникают проблемы. Некоторые службы, например службы «Узла системы диагностики» не удалось запустить из-за этой проблемы.
-
Причина
Когда редактор управления групповыми политиками изменяет параметры в разделе Назначение прав пользователя, он преобразует идентификаторы SID каждой службы для службы имен. Например имя службы «WdiSystemHost».
Редактор управления групповыми политиками не добавляет префикс «Службы NT» имя службы для выполнения поиска во внутреннем домене «Службы NT». Когда редактор управления групповыми политиками записывает ранее разбора имени обратно в файл GptTmpl.inf, он пытается разрешить только имя «WdiSystemHost» от домена Active Directory по умолчанию. Тем не менее эта попытка завершится неудачей. Кроме того строка «WdiSystemHost» записывается файл GptTmpl.inf, а не код SID. Такое поведение заменяет SID каждой службы имя службы.
При следующем обновлении политики обновления пытается разрешить имя службы для SID как если бы пользователь или учетная запись группы. Однако это происходит сбой с ошибка 0x534 «сопоставление имен учетных записей и идентификаторы безопасности было сделано.»
Решение
Примечание. Исправление не решает эту проблему автоматически. После установки этого исправления необходимо вручную добавить «NT SERVICE\» непосредственно в файл GptTmpl.inf. Например необходимо заменить "WdiSystemHost" на «NT SERVICE\WdiSystemHost» с помощью редактора локальной групповой политики.
Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте это исправление только в тех случаях, когда наблюдается проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.
Если исправление доступно для скачивания, имеется раздел "Пакет исправлений доступен для скачивания" в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.
Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Чтобы получить полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание, посетите следующий веб-сайт корпорации Майкрософт:
http://support.microsoft.com/contactus/?ws=supportПримечание. В форме "Пакет исправлений доступен для скачивания" отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.
Предварительные условия
Для установки этого исправления на компьютере должна работать одной из следующих операционных систем:
-
Windows 7
-
Windows Server 2008 R2
Необходимость перезагрузки
После установки исправления компьютер необходимо перезагрузить.
Сведения о замене исправлений
Это исправление не заменяет других исправлений.
Сведения о файлах
Английская версия данного исправления содержит атрибуты файла (или более поздние атрибуты файлов), приведенные в следующей таблице. Дата и время для этих файлов указаны в формате общего скоординированного времени (UTC). При просмотре сведений о файле, он преобразуется в локальное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, следует использовать
Часовой пояс
вкладке
Дата и время
элемент панели управления.
Для всех поддерживаемых 86-разрядных версий Windows 7
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Scecli.dll |
6.1.7600.20527 |
175,616 |
15-Sep-2009 |
05:59 |
x86 |
|
Sceregvl.inf |
Неприменимо |
14,961 |
15-Sep-2009 |
02:18 |
Неприменимо |
|
Secrecs.inf |
Неприменимо |
9,160 |
15-Sep-2009 |
02:18 |
Неприменимо |
Для всех поддерживаемых версий Windows Server 2008 R2 для систем на базе Itanium
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Scecli.dll |
6.1.7600.20527 |
473,088 |
15-Sep-2009 |
04:56 |
IA-64 |
|
Sceregvl.inf |
Неприменимо |
14,961 |
15-Sep-2009 |
01:51 |
Неприменимо |
|
Secrecs.inf |
Неприменимо |
9,160 |
15-Sep-2009 |
01:51 |
Неприменимо |
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Scecli.dll |
6.1.7600.20527 |
175,616 |
15-Sep-2009 |
05:59 |
x86 |
Для всех поддерживаемых версий x64 под управлением Windows Server 2008 R2 и Windows 7
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Scecli.dll |
6.1.7600.20527 |
232,448 |
15-Sep-2009 |
06:38 |
x64 |
|
Sceregvl.inf |
Неприменимо |
14,961 |
15-Sep-2009 |
02:25 |
Неприменимо |
|
Secrecs.inf |
Неприменимо |
9,160 |
15-Sep-2009 |
02:25 |
Неприменимо |
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Scecli.dll |
6.1.7600.20527 |
175,616 |
15-Sep-2009 |
05:59 |
x86 |
Статус
Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе "Относится к".
Дополнительные сведения
После возникновения проблемы, файл Winlogon.log добавляется следующее сообщение об ошибке:
Ошибка 1332: Выполнено сопоставление имен учетных записей и идентификаторов безопасности. Не удается найти < имя_службы >.
Примечание. Файл Winlogon.log расположен в следующей папке:
%windir%\security\logs
Если открыть файл GptTmpl.inf в следующую папку групповой политики связанных, найти некоторые имена служб SQL:
%SYSTEMROOT%\SYSVOL\ < domainname.com > \Policies\ < уникальный идентификатор > \Machine\Microsoft\Windows NT\SecEdit
Ниже приведен пример WDI имена служб, найденных в файле GptTmpl.inf:
[Права]
SeAssignPrimaryTokenPrivilege = WdiServiceHost,*S-1-5-20,*S-1-5-19
SeChangeNotifyPrivilege = 0, WdiServiceHost,*S-1-5-32-554,*S-1-5-11,*S-1-5-32-544,*S-1-5-20,*S-1-5-19,*S-1-1-
Примечание. Исправление не решает эту проблему автоматически. После установки этого исправления необходимо вручную добавить «NT SERVICE\» непосредственно в файл GptTmpl.inf. Например необходимо заменить "WdiSystemHost" на «NT SERVICE\WdiSystemHost» с помощью редактора локальной групповой политики.
Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
Описание 824684 Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт
Сведения о дополнительных файлах для Windows Server 2008 R2 и Windows 7
Дополнительные файлы для всех поддерживаемых 86-разрядных версий Windows 7
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Package_for_kb974639_rtm~31bf3856ad364e35~x86~~6.1.1.0.mum |
Неприменимо |
1,947 |
15-Sep-2009 |
13:35 |
Неприменимо |
|
X86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_38b0b74c535a2c7c.manifest |
Неприменимо |
70,644 |
15-Sep-2009 |
06:32 |
Неприменимо |
Дополнительные файлы для всех поддерживаемых версий Windows Server 2008 R2 для систем на базе Itanium
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Ia64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_38b25b4253583578.manifest |
Неприменимо |
70,646 |
15-Sep-2009 |
06:53 |
Неприменимо |
|
Package_for_kb974639_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mum |
Неприменимо |
1,958 |
15-Sep-2009 |
13:35 |
Неприменимо |
|
Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_9f23fd2240185fad.manifest |
Неприменимо |
68,202 |
15-Sep-2009 |
06:16 |
Неприменимо |
Дополнительные файлы для всех поддерживаемых версий x64 под управлением Windows Server 2008 R2 и Windows 7
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Amd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_94cf52d00bb79db2.manifest |
Неприменимо |
70,648 |
15-Sep-2009 |
08:50 |
Неприменимо |
|
Package_for_kb974639_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mum |
Неприменимо |
2,879 |
15-Sep-2009 |
13:35 |
Неприменимо |
|
Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_9f23fd2240185fad.manifest |
Неприменимо |
68,202 |
15-Sep-2009 |
06:16 |
Неприменимо |
