在 Windows Server 2008 R2 中和在 Windows 7 中某些组策略设置刷新时,还记录了 SceCli 1202 事件


症状


请考虑以下情形:
  • 在计算机上运行 Windows Server 2008 R2 或 Windows 7,您可以使用组策略管理编辑器来管理组策略对象 (GPO)。
  • 对 GPO 中的用户权限分配设置的某些更改,这些设置具有每个服务定义。
  • 您要导出和导入策略用户权限分配设置通过组策略管理控制台 (GPMC)。
  • 您正在使用高级组策略管理 (AGPM) 中的组策略更改管理。
在这种情况下,生成 GPO 应用时可能遇到下列问题︰
  • 下面的 SceCli 1202 事件被添加到应用程序日志中︰

  • 某些应用程序和某些服务不启动。这些应用程序以及这些服务使用的每个服务 SID 配置的某些安全设置。
以下是一些更具体的问题示例︰

  • 某些服务不能启动域控制器上运行 Windows Server 2008 R2。无法启动服务的例子是诊断系统主机服务。
  • 某些 SQL Server 功能,如复制功能不工作当函数试图执行更改帐户,或当函数试图执行对文件夹的权限设置的更改。
  • 在 Internet Information Services (IIS) 7.5 的某些功能无法工作。

原因


当组策略管理编辑器更改用户权限分配设置时,它将翻译服务名称为每个服务 Sid。例如,"WdiServiceHost"服务名称。



在内部"NT 服务"域或内部"IIS 应用程序池"域中执行查找时,组策略管理编辑器不"NT 服务"或"IIS 应用程序池"前缀添加到服务名称。在组策略管理编辑器将以前分析的名称重新写入 GptTmpl.inf 文件,组策略管理编辑器将尝试解析仅针对默认 Active Directory 域服务名称。但是,这种尝试会失败。另外,该服务名称的字符串写入 GptTmpl.inf 文件,而不是每个服务 SID。这种现象与该服务名称替换每个服务 SID。



下一步的策略更新时,更新尝试将服务名称解析为一个 SID。但是,更新假定的服务名称是用户或组帐户。因此,这种行为失败,并且您会收到以下错误消息︰
0x534"没有帐户名与安全 Id 之间的映射已完成"

解决方案


修补程序信息

可以从 Microsoft 获得受支持的修复程序。然而,此修补程序仅用于解决本文中描述的问题。此修复程序仅适用于遇到本文中描述的问题的系统。此修补程序可能会接受进一步的测试。因此,如果这个问题没有对您造成严重的影响,我们建议您等待包含此修复程序的下一个软件更新。

如果此修复程序可供下载,则在此知识库文章的顶部会出现“修补程序下载可用”部分。如果未显示此部分,请与 Microsoft 客户服务和支持部门联系以获取此修复程序。

注意:如果出现其他问题或需要任何故障诊断时,您可能需要创建单独的服务请求。对于不符合此特定的修补程序的其他支持问题和事项将照常收取费用。有关 Microsoft 客户服务和支持电话号码或创建单独的服务请求的完整列表,请访问下面的 Microsoft 网站︰注意:"提供修补程序下载"窗体显示获取此修复程序的语言。如果看不到您的语言,则修补程序没有那种语言的版本。

系统必备组件

若要应用此修补程序,计算机必须运行 Windows 7 或 Windows Server 2008 R2。

安装说明

此修补程序不能自动解决此问题。安装此修复程序后,必须手动添加相应的服务前缀一次。若要执行此操作,请在"替代方法"部分中使用过程。

重启要求

应用此修补程序后,必须重新启动计算机。

修补程序替换信息

此修补程序替换了以前发布的修补程序 974639

974639 SceCli 1202 事件会记录每次运行 Windows Server 2008 R2 或 Windows 7 的计算机上刷新计算机组策略设置

文件信息

此修复程序的英语 (美国) 版本将安装具有下表中列出的属性的文件。这些文件的日期和时间以协调世界时 (UTC) 列出。您的本地计算机上这些文件的日期和时间以您的本地时间加上当前夏令时 (DST) 偏差显示。此外,当您对文件执行某些操作时,日期和时间可能会更改。
Windows 7 和 Windows Server 2008 R2 文件信息备注
重要:相同的软件包中包含 Windows 7 的修复程序和 Windows Server 2008 R2 的修复程序。但是,热修复程序请求页上的修补程序在这两个操作系统中列出。要请求到一个或两个操作系统的系统应用此修补程序包,请选择在"Windows 7/Windows Server 2008 R2"页上列出的修复程序。始终参考"适用于"一节文章,以确定每个修补程序适用于实际的操作系统。
  • 为每个环境安装的 MANIFEST 文件 (.manifest) 和 MUM 文件 (.mum) 在“Windows Server 2008 R2 和 Windows 7 的其他文件信息”部分单独列出。MUM 和 MANIFEST 文件以及关联的安全目录 (.cat) 文件,对于维护更新组件的状态极为重要。对其属性没有列出的安全目录文件已签署 Microsoft 数字签名。
对于所有受支持的基于 x86 的 Windows 7 版本

文件名称文件版本文件大小日期时间平台
Scecli.dll6.1.7600.20617175,61614-Jan-201007:37x86
Sceregvl.inf不适用14,96114-Jan-201003:59不适用
Secrecs.inf不适用9,16014-Jan-201003:59不适用
对于所有受支持的基于 x64 版本的 Windows 7 以及 Windows Server 2008 R2

文件名称文件版本文件大小日期时间平台
Scecli.dll6.1.7600.20617232,96014-Jan-201008:15x64
Sceregvl.inf不适用14,96114-Jan-201004:19不适用
Secrecs.inf不适用9,16014-Jan-201004:19不适用
Scecli.dll6.1.7600.20617175,61614-Jan-201007:37x86
对于所有受支持的基于 IA-64 的 Windows Server 2008 R2 版本

文件名称文件版本文件大小日期时间平台
Scecli.dll6.1.7600.20617474,11214-Jan-201006:58IA-64
Sceregvl.inf不适用14,96114-Jan-201003:31不适用
Secrecs.inf不适用9,16014-Jan-201003:31不适用
Scecli.dll6.1.7600.20617175,61614-Jan-201007:37x86

解决方法


要变通解决此问题,前缀为服务帐户手动添加编辑 GptTmpl.inf 文件。
  • 对于 IIS 标识中,添加"IIS AppPool\"前缀。以下是 IIS 身份的一些示例︰
    • 池中
    • 经典的.NET 应用程序池
  • 对于 Windows 服务名称和 SQL Server 服务名称,添加"NT 服务"前缀。下面是 Windows 服务名称和 SQL Server 服务名称的一些示例︰
    • WdiServiceHost
    • MSSQLSERVER
    • MSSQLFDLauncher
注意:我们建议您安装此修补程序以解决此问题。

状态


Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。

详细信息


此修补程序可以解决此问题"IIS AppPool\"前缀。如果以下相关的组策略文件夹中打开 GptTmpl.inf 文件,您会发现某些服务名称,而不是 Sid:
%SYSTEMROOT%\SYSVOL\ < 域名 > < 唯一 ID > \Policies\ \Machine\Microsoft\Windows NT\SecEdit

以下是替代 GptTmpl.inf 文件中找到一些未解决的服务名称的示例︰

[Privilege Rights] SeAssignPrimaryTokenPrivilege = WdiServiceHost,*S-1-5-20,*S-1-5-19,DefaultAppPool,Classic .NET AppPool,MSSQLSERVER,MSSQLFDLauncher
SeChangeNotifyPrivilege = WdiServiceHost,*S-1-5-32-554,*S-1-5-11,*S-1-5-32-544,*S-1-5-20,*S-1-5-19,*S-1-1- 0,MSSQLSERVER,MSSQLFDLauncher
SeAuditPrivilege = DefaultAppPool,*S-1-5-19,*S-1-5-20,Classic .NET AppPool

有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

975566 SceCli 1202 事件会记录每次运行 Windows Server 2008 或 Windows Vista 的计算机上刷新计算机组策略设置

有关软件更新术语的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

用于描述 Microsoft 软件更新的标准术语的824684说明

其他文件信息

Windows 7 和 Windows Server 2008 R2 的附加文件信息

所有受支持的基于 x86 的 Windows 7 版本的其他文件

文件名称Update.mum
文件版本不适用
文件大小1,674
日期(UTC)15-Jan-2010
时间 (UTC)00:05
平台不适用
文件名称X86_4b23d6171b29fe190f750dbfdff5a3c8_31bf3856ad364e35_6.1.7600.20617_none_c6c85e7ef28644ad.manifest
文件版本不适用
文件大小733
日期(UTC)15-Jan-2010
时间 (UTC)00:05
平台不适用
文件名称X86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_38bb891e53520db2.manifest
文件版本不适用
文件大小70,644
日期(UTC)14-Jan-2010
时间 (UTC)08:05
平台不适用
对于所有支持基于 x64 版本的 Windows 7 和 Windows Server 2008 R2 中的其他文件

文件名称Amd64_8331c794b0ea1624f2d703935632f539_31bf3856ad364e35_6.1.7600.20617_none_6f4a74113706c5bf.manifest
文件版本不适用
文件大小737
日期(UTC)15-Jan-2010
时间 (UTC)00:05
平台不适用
文件名称Amd64_a429a62f5dfe97d159700bc70cb9194b_31bf3856ad364e35_6.1.7600.20617_none_f8dbb49ab59a5dd2.manifest
文件版本不适用
文件大小737
日期(UTC)15-Jan-2010
时间 (UTC)00:05
平台不适用
文件名称Amd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_94da24a20baf7ee8.manifest
文件版本不适用
文件大小70,648
日期(UTC)14-Jan-2010
时间 (UTC)08:53
平台不适用
文件名称Update.mum
文件版本不适用
文件大小2,328
日期(UTC)15-Jan-2010
时间 (UTC)00:05
平台不适用
文件名称Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_9f2ecef4401040e3.manifest
文件版本不适用
文件大小68,202
日期(UTC)14-Jan-2010
时间 (UTC)07:52
平台不适用
对于所有受支持基于 IA-64 的版本的 Windows Server 2008 R2 的附加文件

文件名称Ia64_318432fa0b83986063b79144bea75ebd_31bf3856ad364e35_6.1.7600.20617_none_5a784932fdc5c7f2.manifest
文件版本不适用
文件大小735
日期(UTC)15-Jan-2010
时间 (UTC)00:05
平台不适用
文件名称Ia64_a429a62f5dfe97d159700bc70cb9194b_31bf3856ad364e35_6.1.7600.20617_none_9cbebd0cfd3af598.manifest
文件版本不适用
文件大小736
日期(UTC)15-Jan-2010
时间 (UTC)00:05
平台不适用
文件名称Ia64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_38bd2d14535016ae.manifest
文件版本不适用
文件大小70,646
日期(UTC)14-Jan-2010
时间 (UTC)08:33
平台不适用
文件名称Update.mum
文件版本不适用
文件大小1,684
日期(UTC)15-Jan-2010
时间 (UTC)00:05
平台不适用
文件名称Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20617_none_9f2ecef4401040e3.manifest
文件版本不适用
文件大小68,202
日期(UTC)14-Jan-2010
时间 (UTC)07:52
平台不适用