Triệu chứng
Xem xét tình huống sau:
-
Trên máy tính đang chạy Windows Server 2008 R2 hoặc Windows 7, bạn sử dụng quản lý chính sách nhóm để quản lý các đối tượng chính sách Nhóm (GPO).
-
Nhiều thay đổi được thực hiện để cài đặt "Gán quyền người dùng" trong GPO và các thiết đặt có SID cho một dịch vụ được xác định.
Trong trường hợp này, khi áp dụng chính sách nhóm, bạn có thể gặp phải các sự cố sau:
-
Một sự kiện SceCli 1202 được thêm vào Nhật ký sự kiện ứng dụng:
Sau đây là ví dụ về một mục Nhật ký sự kiện SceCli 1202: -
Một số ứng dụng hoặc dịch vụ không thể khởi động. Các ứng dụng hoặc dịch vụ sử dụng một dịch vụ SID cấu hình thiết đặt bảo mật.
Ví dụ:-
Bạn cài đặt dịch vụ miền Active Directory trên một máy chủ thành viên dựa trên Windows Server 2008 R2.
-
Bạn thực hiện thay đổi cài đặt "Gán quyền người dùng" ở GPO từ máy tính đang chạy Windows Server 2008 R2 hoặc Windows 7.
-
GPO này được áp dụng cho bộ điều khiển vùng đang chạy Windows Server 2008 R2.
Trong trường hợp này, bạn gặp sự cố. Một số dịch vụ, chẳng hạn như dịch vụ "Chẩn đoán hệ thống lưu trữ" không thể khởi động vì sự cố.
-
Nguyên nhân
Khi quản lý chính sách Nhóm sửa đổi thiết đặt trong Gán quyền người dùng, nó chuyển một dịch vụ Sid tên dịch vụ. Ví dụ: tên dịch vụ "WdiSystemHost".
Quản lý chính sách Nhóm thêm tiền tố "Dịch vụ NT" tên dịch vụ để thực hiện tìm kiếm miền nội bộ "NT dịch vụ". Quản lý chính sách Nhóm ghi tên đã phân tích lại vào tập tin GptTmpl.inf, nó sẽ cố gắng giải quyết chỉ tên "WdiSystemHost" với miền Active Directory mặc định. Tuy nhiên, lần này không thành công. Ngoài ra, Chuỗi "WdiSystemHost" được ghi vào tệp GptTmpl.inf thay vì SID. Hiện tượng này thay thế SID cho một dịch vụ có tên dịch vụ.
Khi làm mới chính sách tiếp theo thì việc làm tươi cố xử lý tên dịch vụ cho SID như nếu một người dùng hoặc nhóm tài khoản. Tuy nhiên, điều này không thành công với các lỗi 0x534 "không ánh xạ giữa tên tài khoản và bảo mật ID đã được thực hiện."
Giải pháp
Lưu ý Các hotfix không tự động giải quyết vấn đề này. Sau khi bạn áp dụng hotfix này, bạn phải tự thêm "NT SERVICE\" trực tiếp trong tệp GptTmpl.inf. Ví dụ, bạn phải thay thế "WdiSystemHost" với "NT SERVICE\WdiSystemHost" bằng cách sử dụng bộ soạn chính sách Nhóm Cục bộ.
Cập nhật nóng được hỗ trợ do Microsoft cung cấp. Tuy nhiên, cập nhật nóng này chỉ được dùng để khắc phục sự cố được mô tả trong bài viết này. Chỉ áp dụng cập nhật nóng này cho hệ thống đang gặp sự cố được mô tả trong bài viết này. Cập nhật nóng này có thể được kiểm tra thêm. Vì vậy, nếu bạn không bị ảnh hưởng nghiêm trọng bởi sự cố này, chúng tôi khuyên bạn đợi bản cập nhật phần mềm tiếp theo có chứa cập nhật nóng này.
Nếu cập nhật nóng này sẵn có để tải xuống thì sẽ có phần "Cập nhật nóng có sẵn để tải xuống" ở đầu bài viết Cơ sở Kiến thức này. Nếu phần này không xuất hiện, hãy liên hệ với Dịch vụ Khách hàng và Bộ phận Hỗ trợ của Microsoft để nhận được các cập nhật nóng.
Lưu ý Nếu sự cố khác xảy ra hoặc nếu cần khắc phục sự cố, bạn có thể phải tạo một yêu cầu dịch vụ riêng. Chi phí hỗ trợ thông thường sẽ tính cho các câu hỏi hỗ trợ bổ sung và các sự cố không phù hợp với cập nhật nóng cụ thể này. Để có danh sách đầy đủ số điện thoại hỗ trợ và dịch vụ khách hàng của Microsoft hoặc để tạo yêu cầu dịch vụ riêng, hãy ghé thăm Trang web sau của Microsoft:
http://support.microsoft.com/contactus/?ws=supportLưu ý Mẫu "Tải xuống cập nhật nóng sẵn có" hiển thị các ngôn ngữ mà cập nhật nóng này sẵn có. Nếu bạn không thấy ngôn ngữ của mình thì đó là do cập nhật nóng này hiện không có ngôn ngữ đó.
Điều kiện tiên quyết
Để áp dụng hotfix này, máy tính phải chạy một hệ điều hành sau:
-
Windows 7
-
Windows Server 2008 R2
Yêu cầu khởi động lại
Bạn phải khởi động lại máy tính sau khi áp dụng bản sửa lỗi này.
Thông tin thay thế cập nhật nóng
Hotfix này không thay thế bất kỳ hotfix nào khác.
Thông tin về tệp
Phiên bản tiếng Anh của cập nhật nóng này có các thuộc tính tệp (hoặc thuộc tính tệp mới hơn) được liệt kê trong bảng sau. Ngày và giờ của các tệp này được liệt kê theo Giờ Quốc tế Phối hợp (UTC). Khi bạn xem thông tin về tệp, ngày và giờ được chuyển đổi thành giờ địa phương. Để xem sự khác nhau giữa UTC và giờ địa phương, sử dụng các
Múi giờ
tab trong các
Ngày và giờ
mục trong bảng điều khiển.
Đối với tất cả phiên bản dựa trên x86 được hỗ trợ của Windows 7
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
---|---|---|---|---|---|
Scecli.dll |
6.1.7600.20527 |
175,616 |
15-Sep-2009 |
05:59 |
x86 |
Sceregvl.inf |
Không áp dụng |
14,961 |
15-Sep-2009 |
02:18 |
Không áp dụng |
Secrecs.inf |
Không áp dụng |
9,160 |
15-Sep-2009 |
02:18 |
Không áp dụng |
Đối với tất cả phiên bản dựa vào Itanium của Windows Server 2008 R2
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
---|---|---|---|---|---|
Scecli.dll |
6.1.7600.20527 |
473,088 |
15-Sep-2009 |
04:56 |
IA-64 |
Sceregvl.inf |
Không áp dụng |
14,961 |
15-Sep-2009 |
01:51 |
Không áp dụng |
Secrecs.inf |
Không áp dụng |
9,160 |
15-Sep-2009 |
01:51 |
Không áp dụng |
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
---|---|---|---|---|---|
Scecli.dll |
6.1.7600.20527 |
175,616 |
15-Sep-2009 |
05:59 |
x86 |
Đối với tất cả phiên bản x64 dựa trên Windows Server 2008 R2 và Windows 7
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
---|---|---|---|---|---|
Scecli.dll |
6.1.7600.20527 |
232,448 |
15-Sep-2009 |
06:38 |
x64 |
Sceregvl.inf |
Không áp dụng |
14,961 |
15-Sep-2009 |
02:25 |
Không áp dụng |
Secrecs.inf |
Không áp dụng |
9,160 |
15-Sep-2009 |
02:25 |
Không áp dụng |
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
---|---|---|---|---|---|
Scecli.dll |
6.1.7600.20527 |
175,616 |
15-Sep-2009 |
05:59 |
x86 |
Trạng thái
Microsoft đã xác nhận rằng đây là sự cố trong sản phẩm của Microsoft được liệt kê trong phần "Áp dụng cho".
Thông tin
Sau khi sự cố xảy ra, các lỗi sau đây được thêm vào tệp Winlogon.log:
Lỗi 1332: Không ánh xạ giữa tên tài khoản và bảo mật ID đã được thực hiện. Không thể tìm thấy < tên dịch vụ >.
Lưu ý Các tập tin Winlogon.log được đặt trong cặp sau:
%windir%\security\logs
Nếu bạn mở tệp GptTmpl.inf trong cặp sau liên quan đến chính sách nhóm, bạn có thể tìm thấy một số tên dịch vụ SQL:
%SYSTEMROOT%\SYSVOL\ < domainname.com > \Policies\ < duy nhất ID > \Machine\Microsoft\Windows NT\SecEdit
Sau đây là tên dịch vụ WDI nằm trong tệp GptTmpl.inf:
[Quyền quyền]
SeAssignPrimaryTokenPrivilege = WdiServiceHost,*S-1-5-20,*S-1-5-19
SeChangeNotifyPrivilege = WdiServiceHost,*S-1-5-32-554,*S-1-5-11,*S-1-5-32-544,*S-1-5-20,*S-1-5-19,*S-1-1-0
Lưu ý Các hotfix không tự động giải quyết vấn đề này. Sau khi bạn áp dụng hotfix này, bạn phải tự thêm "NT SERVICE\" trực tiếp trong tệp GptTmpl.inf. Ví dụ, bạn phải thay thế "WdiSystemHost" với "NT SERVICE\WdiSystemHost" bằng cách sử dụng bộ soạn chính sách Nhóm Cục bộ.
Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
824684 mô tả thuật ngữ chuẩn được sử dụng để miêu tả các bản cập nhật phần mềm Microsoft
Thông tin tệp bổ sung dành cho Windows Server 2008 R2 và Windows 7
Các tệp bổ sung cho tất cả phiên bản dựa trên x86 được hỗ trợ của Windows 7
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
---|---|---|---|---|---|
Package_for_kb974639_rtm~31bf3856ad364e35~x86~~6.1.1.0.mum |
Không áp dụng |
1,947 |
15-Sep-2009 |
13:35 |
Không áp dụng |
X86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_38b0b74c535a2c7c.manifest |
Không áp dụng |
70,644 |
15-Sep-2009 |
06:32 |
Không áp dụng |
Tệp bổ sung cho tất cả phiên bản dựa vào Itanium của Windows Server 2008 R2
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
---|---|---|---|---|---|
Ia64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_38b25b4253583578.manifest |
Không áp dụng |
70,646 |
15-Sep-2009 |
06:53 |
Không áp dụng |
Package_for_kb974639_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mum |
Không áp dụng |
1,958 |
15-Sep-2009 |
13:35 |
Không áp dụng |
Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_9f23fd2240185fad.manifest |
Không áp dụng |
68,202 |
15-Sep-2009 |
06:16 |
Không áp dụng |
Tệp bổ sung cho tất cả phiên bản x64 dựa trên Windows Server 2008 R2 và Windows 7
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
---|---|---|---|---|---|
Amd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_94cf52d00bb79db2.manifest |
Không áp dụng |
70,648 |
15-Sep-2009 |
08:50 |
Không áp dụng |
Package_for_kb974639_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mum |
Không áp dụng |
2,879 |
15-Sep-2009 |
13:35 |
Không áp dụng |
Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_9f23fd2240185fad.manifest |
Không áp dụng |
68,202 |
15-Sep-2009 |
06:16 |
Không áp dụng |