SCECLI 1202 事件疑难解答
本文介绍排查和解决 SCECLI 1202 事件的方法。
适用于: Windows Server 2012 R2
原始 KB 编号: 324383
摘要
排查这些事件的第一步是识别 Win32 错误代码。 此错误代码区分导致 SCECLI 1202 事件的失败类型。 下面是 SCECLI 1202 事件的示例。 错误代码显示在 “说明 ”字段中。 在此示例中,错误代码为0x534。 错误代码后面的文本是错误说明。 确定错误代码后,找到本文中的错误代码部分,然后按照该部分中的故障排除步骤进行操作。
0x534:未在帐户名和安全 ID 之间完成映射。
或
0x6fc:主域与受信任域之间的信任关系失败。
错误代码0x534:帐户名称和安全 ID 之间未执行映射
这些错误代码意味着无法将安全帐户解析为安全标识符 (SID) 。 此错误通常是因为帐户名称键入错误,或者帐户在添加到安全策略设置后被删除。 它通常出现在安全策略设置的 “用户权限 ”部分或 “受限组 ”部分中。 如果帐户存在于信任中,然后信任关系中断,也可能发生此情况。
要解决此问题,请执行下列步骤:
确定导致失败的帐户。 为此,请为安全配置客户端扩展启用调试日志记录:
启动注册表编辑器。
找到并选择以下注册表子项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
在 “编辑 ”菜单上,选择“ 添加值”,然后添加以下注册表值:
- 值名称:ExtensionDebugLevel
- 数据类型:DWORD
- 值数据:2
退出注册表编辑器。
刷新策略设置以重现失败。 若要刷新策略设置,请在命令提示符处键入以下命令,然后按 Enter:
secedit /refreshpolicy machine_policy /enforce
此命令在 文件夹中创建名为 Winlogon.log
%SYSTEMROOT%\Security\Logs
的文件。查找问题帐户。 为此,请在命令提示符下键入以下命令,然后按 Enter:
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
Find 输出标识问题帐户名称,例如 “找不到 MichaelPeltier”。 在此示例中,域中不存在用户帐户 MichaelPeltier。 或者它具有不同的拼写,例如 MichellePeltier。
确定无法解析此帐户的原因。 例如,查找拼写错误、已删除的帐户、应用于此计算机的错误策略或信任问题。
如果确定必须从策略中删除帐户,请找到问题策略和问题设置。 若要确定哪个设置包含未解析的帐户,请在生成 SCECLI 1202 事件的计算机上的命令提示符处键入以下命令,然后按 Enter:
c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*
对于此示例,语法和结果为:
c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelPeltier,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
它将GPT00002.inf 标识为问题组策略对象 (包含问题设置的 GPO) 缓存的安全模板。 它还将问题设置标识为 SeInteractiveLogonRight。 SeInteractiveLogonRight 的显示名称是 本地登录。
有关常量 (的映射,例如 SeInteractiveLogonRight) 其显示名称 (登录本地) ,请参阅 Microsoft Windows 2000 服务器资源工具包分布式系统指南。 地图位于附录的 “用户权限 ”部分。
确定哪个 GPO 包含问题设置。 在步骤 4 中标识的缓存安全模板中搜索文本
GPOPath=
。 在此示例中,你将看到:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
{6AC1786C-016F-11D2-945F-00C04FB984F9} 是 GPO 的 GUID。
若要查找 GPO 的友好名称,请使用资源工具包实用工具 Gpotool.exe。 在命令提示符处键入以下命令,然后按 Enter:
gpotool /verbose
在输出中搜索在步骤 5 中标识的 GUID。 GUID 后面的四行包含策略的友好名称。 例如:
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Default Domain Controllers Policy
现在,你已确定问题帐户、问题设置和问题 GPO。 若要解决此问题,请删除或替换问题条目。
错误代码0x2:系统找不到指定的文件
此错误类似于 0x534 和 0x6fc。 这是由不可操作的帐户名称引起的。 发生0x2错误时,通常指示在“受限的组”策略设置中指定了不可删除的帐户名称。
要解决此问题,请执行下列步骤:
确定哪个服务或哪个对象出现故障。 为此,请为安全配置客户端扩展启用调试日志记录:
启动注册表编辑器。
找到并选择以下注册表子项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
在 “编辑 ”菜单上,选择“ 添加值”,然后添加以下注册表值:
- 值名称:ExtensionDebugLevel
- 数据类型:DWORD
- 值数据:2
退出注册表编辑器。
刷新策略设置以重现失败。 若要刷新策略设置,请在命令提示符处键入以下命令,然后按 Enter:
secedit /refreshpolicy machine_policy /enforce
此命令在 文件夹中创建名为 Winlogon.log
%SYSTEMROOT%\Security\Logs
的文件。在命令提示符下,键入以下命令,然后按 Enter:
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
Find 输出标识问题帐户名称,例如 “找不到 MichaelPeltier”。 在此示例中,域中不存在用户帐户 MichaelPeltier。 或者它具有不同的拼写,例如 MichellePeltier。
确定无法解析此帐户的原因。 例如,查找拼写错误、已删除的帐户、应用于此计算机的错误策略或信任问题。
如果确定必须从策略中删除帐户,请找到问题策略和问题设置。 若要查找包含未解析帐户的设置,请在生成 SCECLI 1202 事件的计算机上的命令提示符处键入以下命令,然后按 ENTER:
c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*
对于此示例,语法和结果为:
c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
它将 GPT00002.inf 标识为包含问题设置的问题 GPO 中的缓存安全模板。 它还将问题设置标识为 SeInteractiveLogonRight。 SeInteractiveLogonRight 的显示名称是 本地登录。
有关常量映射 (例如 SeInteractiveLogonRight) 其显示名称 (例如本地登录) ,请参阅 Windows 2000 Server 资源工具包分布式系统指南。 地图位于附录的 “用户权限 ”部分。
确定哪个 GPO 包含问题设置。 在步骤 4 中标识的缓存安全模板中搜索文本
GPOPath=
。 在此示例中,你将看到:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
{6AC1786C-016F-11D2-945F-00C04FB984F9} 是 GPO 的 GUID。
若要查找 GPO 的友好名称,请使用资源工具包实用工具 Gpotool.exe。 在命令提示符处键入以下命令,然后按 Enter:
gpotool /verbose
在输出中搜索在步骤 5 中标识的 GUID。 GUID 后面的四行包含策略的友好名称。 例如:
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Default Domain Controllers Policy
现已确定问题帐户、问题设置和问题 GPO。 若要解决此问题,请在安全策略的“受限组”部分搜索问题帐户实例, (在此示例中,MichaelPeltier) ,然后删除或替换问题条目。
错误代码0x5:访问被拒绝
当系统未获得更新服务访问控制列表的正确权限时,通常会发生此错误。 如果管理员在策略中定义了服务的权限,但未授予系统帐户“完全控制”权限,则可能会出现此问题。
要解决此问题,请执行下列步骤:
确定哪个服务或哪个对象出现故障。 为此,请为安全配置客户端扩展启用调试日志记录:
启动注册表编辑器。
找到并选择以下注册表子项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
在 “编辑 ”菜单上,选择“ 添加值”,然后添加以下注册表值:
- 值名称:ExtensionDebugLevel
- 数据类型:DWORD
- 值数据:2
退出注册表编辑器。
刷新策略设置以重现失败。 若要刷新策略设置,请在命令提示符处键入以下命令,然后按 Enter:
secedit /refreshpolicy machine_policy /enforce
此命令在 文件夹中创建名为 Winlogon.log
%SYSTEMROOT%\Security\Logs
的文件。在命令提示符处,键入以下内容,然后按 Enter:
find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.log
Find 输出使用错误配置的权限标识服务,例如 ,打开 Dnscache 时出错。 Dnscache 是 DNS 客户端服务的短名称。
了解尝试修改服务权限的策略或策略。 为此,请在命令提示符下键入以下命令,然后按 Enter:
find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*".
下面是示例命令及其输出:
d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)" ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
确定哪个 GPO 包含问题设置。 在步骤 4 中标识的缓存安全模板中搜索文本
GPOPath=
。 在此示例中,你将看到:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
{6AC1786C-016F-11D2-945F-00C04FB984F9} 是 GPO 的 GUID。
若要查找 GPO 的友好名称,请使用资源工具包实用工具 Gpotool.exe。 在命令提示符处键入以下命令,然后按 Enter:
gpotool /verbose
在输出中搜索在步骤 5 中标识的 GUID。 GUID 后面的四行包含策略的友好名称。 例如:
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9} Policy OK Details: ------------------------------------------------------------ DC: domcntlr1.wingtiptoys.com Friendly name: Default Domain Controllers Policy
现在,你已使用错误配置的权限和问题 GPO 标识了服务。 若要解决此问题,请在安全策略的“系统服务”部分搜索具有错误配置权限的服务实例。 然后采取纠正措施,向系统帐户授予对服务的“完全控制”权限。
错误代码0x4b8:发生扩展错误
0x4b8错误是泛型错误,可能由许多不同的问题引起。 若要排查这些错误,请执行以下步骤:
为安全配置客户端扩展启用调试日志记录:
启动注册表编辑器。
找到并选择以下注册表子项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
在 “编辑 ”菜单上,选择“ 添加值”,然后添加以下注册表值:
- 值名称:ExtensionDebugLevel
- 数据类型:DWORD
- 值数据:2
退出注册表编辑器。
刷新策略设置以重现失败。 若要刷新策略设置,请在命令提示符处键入以下命令,然后按 Enter:
secedit /refreshpolicy machine_policy /enforce
此命令在 文件夹中创建名为 Winlogon.log
%SYSTEMROOT%\Security\Logs
的文件。请参阅 应用程序日志中重复记录 ESENT 事件 ID 1000、1202、412 和 454。 本文介绍导致0x4b8错误的已知问题。
数据收集
如果需要 Microsoft 支持方面的帮助,我们建议按照使用 TSS 收集信息中提到的步骤收集信息,解决组策略问题。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈