เหตุการณ์ SceCli 1202 เข้าสู่ระบบเมื่อมีฟื้นฟูบางการตั้งค่า'นโยบายกลุ่ม' ใน Windows Server 2008 R2 และ ใน Windows 7


อาการ


พิจารณาสถานการณ์สมมติต่อไปนี้:
  • บนคอมพิวเตอร์ที่กำลังเรียกใช้ Windows Server 2008 R2 หรือ Windows 7 คุณสามารถใช้ตัวแก้ไขการจัดการนโยบายกลุ่มเพื่อจัดการ Group Policy object (GPO)
  • บางการเปลี่ยนแปลงการตั้งค่าการมอบหมายสิทธิ์ผู้ใช้ใน GPO และการตั้งค่าเหล่านี้มี SID สำหรับแต่ละบริการกำหนดไว้
  • คุณกำลังส่งออก และนำเข้านโยบายที่มีการตั้งค่าการมอบหมายสิทธิ์ของผู้ใช้ผ่านการกลุ่มนโยบายจัดการคอนโซล (ของ gpmc ได้จาก)
  • คุณกำลังเรียกใช้การจัดการการเปลี่ยนแปลงนโยบายกลุ่มโดยใช้ขั้นสูงกลุ่มนโยบายการจัดการ (AGPM)
ในสถานการณ์สมมตินี้ คุณอาจพบปัญหาต่อไปนี้เมื่อมีใช้วัตถุนโยบายกลุ่มเป็นผลลัพธ์:
  • เหตุการณ์ SceCli 1202 ต่อไปนี้จะถูกเพิ่มลงในบันทึกของโปรแกรมประยุกต์:

  • โปรแกรมประยุกต์บางโปรแกรมและบริการบางอย่างไม่เริ่มทำงาน โปรแกรมประยุกต์เหล่านี้และบริการเหล่านี้ใช้ SID สำหรับแต่ละบริการเพื่อกำหนดค่าการตั้งค่าความปลอดภัยบางอย่าง
ต่อไปนี้เป็นตัวอย่างปัญหาเฉพาะเจาะจงมากขึ้น:

  • บางบริการไม่สามารถเริ่มการทำงานบนตัวควบคุมโดเมนที่กำลังเรียกใช้ Windows Server 2008 R2 ตัวอย่างของบริการที่ไม่สามารถเริ่มการทำงานเป็นบริการโฮสต์ระบบการวินิจฉัย
  • SQL Server บางฟังก์ชัน เช่นฟังก์ชันสำหรับการจำลองแบบไม่ทำงานเมื่อฟังก์ชันพยายามที่จะทำการเปลี่ยนแปลงบัญชี หรือ เมื่อฟังก์ชันพยายามที่จะทำการเปลี่ยนแปลงการตั้งค่าสิทธิ์ของโฟลเดอร์
  • บางฟังก์ชันใน Internet Information Services (IIS) 7.5 ไม่ทำงาน

สาเหตุ


เมื่อตัวแก้ไขการจัดการนโยบายกลุ่มเป็นการเปลี่ยนแปลงการตั้งค่าภายใต้การกำหนดสิทธิ์ของผู้ใช้แปล SIDs สำหรับแต่ละบริการไปยังชื่อการบริการ ตัวอย่างเช่น "WdiServiceHost" ชื่อบริการ



ตัวแก้ไขการจัดการนโยบายกลุ่มไม่เพิ่มคำนำหน้า "บริการ NT" หรือ "IIS AppPool" เป็นชื่อบริการเมื่อโปรแกรมทำการค้นหาในโดเมน "บริการ NT" ภายในหรือโดเมน "IIS AppPool" ภายใน เมื่อตัวแก้ไขการจัดการนโยบายกลุ่มเขียนชื่อแยกวิเคราะห์ก่อนหน้านี้กลับไปยังแฟ้ม GptTmpl.inf ตัวแก้ไขการจัดการนโยบายกลุ่มพยายามแก้ไขเฉพาะชื่อบริการกับโดเมน Active Directory เริ่มต้น อย่างไรก็ตาม ความพยายามนี้ล้มเหลว นอกจากนี้ สายอักขระของชื่อบริการถูกเขียนไปยังแฟ้ม GptTmpl.inf แทน SID สำหรับแต่ละการบริการ ลักษณะการทำงานนี้แทน SID สำหรับแต่ละบริการ ด้วยชื่อการบริการ



เมื่อการปรับปรุงนโยบายถัดไปเกิดขึ้น การปรับปรุงพยายามแก้ไขชื่อบริการ SID อย่างไรก็ตาม การปรับปรุงถือว่า ชื่อบริการคือ ผู้ใช้หรือบัญชีกลุ่มงาน ดังนั้น การทำงานนี้ล้มเหลว และคุณได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:
0x534 "ไม่มีการแม็ประหว่างชื่อบัญชีและหมายเลขความปลอดภัยมีการดำเนินการ"

การแก้ปัญหา


ข้อมูลโปรแกรมแก้ไขด่วน

มีโปรแกรมแก้ไขด่วนที่รองรับพร้อมให้บริการจาก Microsoft อย่างไรก็ตาม โปรแกรมแก้ไขด่วนนี้มุ่งหวังเพื่อการแก้ไขเฉพาะปัญหาที่อธิบายไว้ในบทความนี้ ใช้การแก้ไขด่วนนี้กับระบบต่าง ๆ ที่พบปัญหาอธิบายไว้ในบทความนี้เท่านั้น โปรแกรมแก้ไขด่วนนี้อาจได้รับการทดสอบเพิ่มเติม ดังนั้น ถ้าคุณไม่ได้รับผลกระทบจากปัญหานี้รุนแรง เราขอแนะนำให้ คุณรอการปรับปรุงซอฟต์แวร์ถัดไปที่ประกอบด้วยโปรแกรมแก้ไขด่วนนี้

หากโปรแกรมแก้ไขด่วนพร้อมสำหรับการดาวน์โหลด คุณจะเห็นส่วน "มีโปรแกรมแก้ไขด่วนพร้อมสำหรับการดาวน์โหลด" ที่ด้านบนของบทความฐานข้อมูลองค์ความรู้นี้ หากส่วนนี้ไม่ปรากฏขึ้น ติดต่อ Microsoft ฝ่ายบริการลูกค้าและฝ่ายสนับสนุนเพื่อขอรับโปรแกรมแก้ไขด่วน

หมายเหตุ ถ้ามีปัญหาอื่น ๆ เกิดขึ้น หรือถ้าจำเป็นต้องแก้ไขปัญหาใด ๆ คุณอาจต้องสร้างคำขอรับบริการแยกต่างหาก จะมีค่าใช้จ่ายในการสนับสนุนปกติกับคำถามเพิ่มเติมและเรื่องอื่น ๆ ที่ไม่มีสิทธิได้รับโปรแกรมแก้ไขด่วนเฉพาะนี้ สำหรับรายการหมายเลขโทรศัพท์ฉบับสมบูรณ์ของฝ่ายบริการลูกค้าและการสนับสนุนของ Microsoft หรือเพื่อสร้างคำขอรับบริการแยกต่างหาก แวะไปที่เว็บไซต์ Microsoft ต่อไปนี้:หมายเหตุ แบบฟอร์ม "มีโปรแกรมแก้ไขด่วนพร้อมสำหรับการดาวน์โหลด" แสดงภาษาที่โปรแกรมแก้ไขด่วนพร้อมใช้งาน ถ้าคุณไม่เห็นภาษาของคุณ อาจเป็น เพราะไม่มีโปรแกรมแก้ไขด่วนพร้อมใช้งานสำหรับภาษานั้น

ข้อกำหนดเบื้องต้น

เมื่อต้องการใช้โปรแกรมแก้ไขด่วนนี้ คอมพิวเตอร์ของคุณต้องเรียกใช้ Windows 7 หรือ Windows Server 2008 R2

คำแนะนำในการติดตั้ง

โปรแกรมแก้ไขด่วนนี้ไม่สามารถแก้ไขปัญหานี้โดยอัตโนมัติ หลังจากที่คุณติดตั้งโปรแกรมแก้ไขด่วนนี้ คุณต้องด้วยตนเองผนวกคำนำหน้าบริการที่สอดคล้องกันหนึ่งครั้ง เมื่อต้องการทำเช่นนี้ ใช้ขั้นตอนในส่วน "การแก้ปัญหา"

ข้อกำหนดการรีสตาร์ท

คุณต้องเริ่มระบบคอมพิวเตอร์ใหม่หลังจากที่คุณนำโปรแกรมแก้ไขด่วนนี้ไปใช้แล้ว

ข้อมูลการแทนที่โปรแกรมแก้ไขด่วน

โปรแกรมแก้ไขด่วนนี้แทนโปรแกรมแก้ไขด่วน 974639 ออกมาก่อนหน้านี้

974639เหตุการณ์ SceCli 1202 เข้าสู่ระบบทุกครั้งที่มีฟื้นฟูการตั้งค่านโยบายกลุ่มคอมพิวเตอร์บนคอมพิวเตอร์ที่กำลังเรียกใช้ Windows Server 2008 R2 หรือ Windows 7

ข้อมูลแฟ้ม

โปรแกรมแก้ไขด่วนรุ่นภาษาอังกฤษ (สหรัฐอเมริกา) ติดตั้งแฟ้มที่มีแอตทริบิวต์ที่แสดงในตารางต่อไปนี้ วันที่และเวลาสำหรับแฟ้มเหล่านี้จะแสดงรายการไว้ในรูปแบบเวลามาตรฐานสากล (UTC) วันที่และเวลาสำหรับแฟ้มเหล่านี้บนเครื่องคอมพิวเตอร์เฉพาะที่ของคุณจะแสดงผลตามเวลาท้องถิ่นของคุณร่วมกับความโน้มเอียงของเวลาตามฤดูกาล (DST) ในปัจจุบันของคุณ นอกจากนี้ วันที่และเวลาอาจจะเปลี่ยนแปลงไปได้อีกด้วยเมื่อคุณดำเนินการบางอย่างกับแฟ้มนี้
หมายเหตุข้อมูลแฟ้ม Windows 7 และ Windows Server 2008 R2
สิ่งสำคัญ โปรแกรมแก้ไขด่วนของ Windows 7 และโปรแกรมแก้ไขด่วนของ Windows Server 2008 R2 จะรวมอยู่ในแพคเกจเดียวกัน อย่างไรก็ตาม โปรแกรมแก้ไขด่วนบนเพจคำขอโปรแกรมแก้ไขด่วนปรากฏอยู่ภายใต้ระบบปฏิบัติการทั้งสอง เมื่อต้องการร้องขอแพคเกจโปรแกรมแก้ไขด่วนที่ใช้กับระบบปฏิบัติการหนึ่ง หรือทั้งสอง เลือกโปรแกรมแก้ไขด่วนที่อยู่ภายใต้ "Windows 7/Windows Server 2008 R2" ในหน้า อ้างอิงส่วน "นำไปใช้กับ" ในบทความเสมอเพื่อกำหนดระบบปฏิบัติการจริงที่จะนำโปรแกรมแก้ไขด่วนแต่ละโปรแกรมไปใช้ด้วย
  • แฟ้ม MANIFEST (.manifest) และแฟ้ม MUM (.mum) ซึ่งติดตั้งสำหรับแต่ละสภาพแวดล้อมจะแสดงรายการแยกต่างหากในส่วน "ข้อมูลแฟ้มเพิ่มเติมสำหรับ Windows Server 2008 R2 และ สำหรับ Windows 7" แฟ้ม MUM และแฟ้ม MANIFEST และแฟ้มแค็ตตาล็อกการรักษาความปลอดภัย (.cat) ที่เกี่ยวข้องมีความสำคัญอย่างยิ่งในการรักษาสถานะของคอมโพเนนต์ที่ปรับปรุงแล้ว แฟ้มแค็ตตาล็อกการรักษาความปลอดภัยซึ่งแอตทริบิวต์ไม่ได้แสดงรายการไว้จะได้รับการลงชื่อด้วยลายเซ็นดิจิทัลของ Microsoft
สำหรับ Windows 7 รุ่นที่ใช้ x86 ทั้งหมดที่สนับสนุน

ชื่อแฟ้มรุ่นของแฟ้มขนาดของแฟ้มวันที่เวลาแพลตฟอร์ม
Scecli.dll6.1.7600.20617175,61614-Jan-201007:37x86
Sceregvl.infไม่มีข้อมูล14,96114-Jan-201003:59ไม่มีข้อมูล
Secrecs.infไม่มีข้อมูล9,16014-Jan-201003:59ไม่มีข้อมูล
สำหรับ Windows 7 และ Windows Server 2008 R2 รุ่นที่ใช้ x64 ทั้งหมดที่สนับสนุน

ชื่อแฟ้มรุ่นของแฟ้มขนาดของแฟ้มวันที่เวลาแพลตฟอร์ม
Scecli.dll6.1.7600.20617232,96014-Jan-201008:15x64
Sceregvl.infไม่มีข้อมูล14,96114-Jan-201004:19ไม่มีข้อมูล
Secrecs.infไม่มีข้อมูล9,16014-Jan-201004:19ไม่มีข้อมูล
Scecli.dll6.1.7600.20617175,61614-Jan-201007:37x86
สำหรับ Windows Server 2008 R2 รุ่นที่ใช้ IA 64 ทั้งหมดที่สนับสนุน

ชื่อแฟ้มรุ่นของแฟ้มขนาดของแฟ้มวันที่เวลาแพลตฟอร์ม
Scecli.dll6.1.7600.20617474,11214-Jan-201006:58IA-64
Sceregvl.infไม่มีข้อมูล14,96114-Jan-201003:31ไม่มีข้อมูล
Secrecs.infไม่มีข้อมูล9,16014-Jan-201003:31ไม่มีข้อมูล
Scecli.dll6.1.7600.20617175,61614-Jan-201007:37x86

วิธีแก้ปัญหา


เมื่อต้องการหลีกเลี่ยงปัญหานี้ เพิ่มคำนำหน้าไปยังบัญชีบริการด้วยตนเอง โดยการแก้ไขแฟ้ม GptTmpl.inf
  • สำหรับข้อมูลเฉพาะตัว IIS เพิ่มคำนำหน้า "IIS AppPool\" ต่อไปนี้คือ บางตัวอย่างของรหัสประจำตัว IIS:
    • Defaultapppool หรือไม่
    • AppPool .NET คลาสสิก
  • บริการชื่อสำหรับ Windows และสำหรับชื่อบริการ SQL Server เพิ่มคำนำหน้า "บริการ NT" ต่อไปนี้คือ บางตัวอย่าง ของชื่อบริการ Windows และชื่อของบริการ SQL Server:
    • WdiServiceHost
    • MSSQLSERVER
    • MSSQLFDLauncher
หมายเหตุ เราขอแนะนำให้ คุณติดตั้งโปรแกรมแก้ไขด่วนนี้เมื่อต้องการแก้ไขปัญหานี้

สถานะ


Microsoft ยืนยันว่านี่เป็นปัญหาในผลิตภัณฑ์ของ Microsoft ซึ่งแสดงไว้ในส่วน "นำไปใช้กับ"

ข้อมูลเพิ่มเติม


โปรแกรมแก้ไขด่วนนี้ช่วยแก้ไขปัญหานี้สำหรับคำนำหน้า "IIS AppPool\" ถ้าคุณเปิดแฟ้ม GptTmpl.inf ในโฟลเดอร์'นโยบายกลุ่ม'ที่เกี่ยวข้องดังต่อไปนี้ คุณพบบางชื่อบริการแทน SIDs:
\Machine\Microsoft\Windows NT\SecEdit \Policies\ > ID เฉพาะ < < domainname > %SYSTEMROOT%\SYSVOL\

ต่อไปนี้เป็นตัวอย่างของชื่อบริการที่ยังไม่ได้แก้ไขบางอย่างที่พบในแฟ้ม GptTmpl.inf:

[Privilege Rights] SeAssignPrimaryTokenPrivilege = WdiServiceHost,*S-1-5-20,*S-1-5-19,DefaultAppPool,Classic .NET AppPool,MSSQLSERVER,MSSQLFDLauncher
SeChangeNotifyPrivilege = WdiServiceHost,*S-1-5-32-554,*S-1-5-11,*S-1-5-32-544,*S-1-5-20,*S-1-5-19,*S-1-1- 0,MSSQLSERVER,MSSQLFDLauncher
SeAuditPrivilege = DefaultAppPool,*S-1-5-19,*S-1-5-20,Classic .NET AppPool

สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:

975566เหตุการณ์ SceCli 1202 เข้าสู่ระบบทุกครั้งที่มีฟื้นฟูการตั้งค่านโยบายกลุ่มคอมพิวเตอร์บนคอมพิวเตอร์ที่กำลังเรียกใช้ Windows Server 2008 หรือ Windows Vista

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับศัพท์เฉพาะในการปรับปรุงซอฟต์แวร์ ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:

824684คำอธิบายของคำศัพท์มาตรฐานที่ใช้เพื่ออธิบายปรับปรุงซอฟต์แวร์ของ Microsoft

ข้อมูลแฟ้มเพิ่มเติม

ข้อมูลแฟ้มเพิ่มเติมสำหรับ Windows 7 และสำหรับ Windows Server 2008 R2

แฟ้มเพิ่มเติมสำหรับ Windows 7 รุ่นที่ใช้ x86 ทั้งหมดที่สนับสนุน

ชื่อแฟ้มUpdate.mum
รุ่นของแฟ้มไม่มีข้อมูล
ขนาดของแฟ้ม1,674
วัน (UTC)15-Jan-2010
เวลา (UTC)00:05
แพลตฟอร์มไม่มีข้อมูล
ชื่อแฟ้มX86_4b23d6171b29fe190f750dbfdff5a3c8_31bf3856ad364e35_6.1.7600.20617_none_c6c85e7ef28644ad.manifest
รุ่นของแฟ้มไม่มีข้อมูล
ขนาดของแฟ้ม733
วัน (UTC)15-Jan-2010
เวลา (UTC)00:05
แพลตฟอร์มไม่มีข้อมูล
ชื่อแฟ้มX86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_38bb891e53520db2.manifest
รุ่นของแฟ้มไม่มีข้อมูล
ขนาดของแฟ้ม70,644
วัน (UTC)14-Jan-2010
เวลา (UTC)08:05
แพลตฟอร์มไม่มีข้อมูล
แฟ้มเพิ่มเติมสำหรับ Windows 7 และ Windows Server 2008 R2 รุ่นที่ใช้ x64 ทั้งหมดที่สนับสนุน

ชื่อแฟ้มAmd64_8331c794b0ea1624f2d703935632f539_31bf3856ad364e35_6.1.7600.20617_none_6f4a74113706c5bf.manifest
รุ่นของแฟ้มไม่มีข้อมูล
ขนาดของแฟ้ม737
วัน (UTC)15-Jan-2010
เวลา (UTC)00:05
แพลตฟอร์มไม่มีข้อมูล
ชื่อแฟ้มAmd64_a429a62f5dfe97d159700bc70cb9194b_31bf3856ad364e35_6.1.7600.20617_none_f8dbb49ab59a5dd2.manifest
รุ่นของแฟ้มไม่มีข้อมูล
ขนาดของแฟ้ม737
วัน (UTC)15-Jan-2010
เวลา (UTC)00:05
แพลตฟอร์มไม่มีข้อมูล
ชื่อแฟ้มAmd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_94da24a20baf7ee8.manifest
รุ่นของแฟ้มไม่มีข้อมูล
ขนาดของแฟ้ม70,648
วัน (UTC)14-Jan-2010
เวลา (UTC)08:53
แพลตฟอร์มไม่มีข้อมูล
ชื่อแฟ้มUpdate.mum
รุ่นของแฟ้มไม่มีข้อมูล
ขนาดของแฟ้ม2,328
วัน (UTC)15-Jan-2010
เวลา (UTC)00:05
แพลตฟอร์มไม่มีข้อมูล
ชื่อแฟ้มWow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_9f2ecef4401040e3.manifest
รุ่นของแฟ้มไม่มีข้อมูล
ขนาดของแฟ้ม68,202
วัน (UTC)14-Jan-2010
เวลา (UTC)07:52
แพลตฟอร์มไม่มีข้อมูล
แฟ้มเพิ่มเติมสำหรับ Windows Server 2008 R2 รุ่นที่ใช้ IA 64 ทั้งหมดที่สนับสนุน

ชื่อแฟ้มIa64_318432fa0b83986063b79144bea75ebd_31bf3856ad364e35_6.1.7600.20617_none_5a784932fdc5c7f2.manifest
รุ่นของแฟ้มไม่มีข้อมูล
ขนาดของแฟ้ม735
วัน (UTC)15-Jan-2010
เวลา (UTC)00:05
แพลตฟอร์มไม่มีข้อมูล
ชื่อแฟ้มIa64_a429a62f5dfe97d159700bc70cb9194b_31bf3856ad364e35_6.1.7600.20617_none_9cbebd0cfd3af598.manifest
รุ่นของแฟ้มไม่มีข้อมูล
ขนาดของแฟ้ม736
วัน (UTC)15-Jan-2010
เวลา (UTC)00:05
แพลตฟอร์มไม่มีข้อมูล
ชื่อแฟ้มIa64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_38bd2d14535016ae.manifest
รุ่นของแฟ้มไม่มีข้อมูล
ขนาดของแฟ้ม70,646
วัน (UTC)14-Jan-2010
เวลา (UTC)08:33
แพลตฟอร์มไม่มีข้อมูล
ชื่อแฟ้มUpdate.mum
รุ่นของแฟ้มไม่มีข้อมูล
ขนาดของแฟ้ม1,684
วัน (UTC)15-Jan-2010
เวลา (UTC)00:05
แพลตฟอร์มไม่มีข้อมูล
ชื่อแฟ้มWow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_9f2ecef4401040e3.manifest
รุ่นของแฟ้มไม่มีข้อมูล
ขนาดของแฟ้ม68,202
วัน (UTC)14-Jan-2010
เวลา (UTC)07:52
แพลตฟอร์มไม่มีข้อมูล