症状
请考虑以下情形:
-
在计算机上运行 Windows Server 2008 R2 或 Windows 7,您可以使用组策略管理编辑器来管理组策略对象 (GPO)。
-
GPO 中的"用户权限分配"设置进行了大量更改,这些设置具有每个服务定义。
在这种情况下,当应用组策略时,可能会遇到以下问题︰
-
SceCli 1202 事件被添加到应用程序事件日志中︰
以下是 SceCli 1202 事件日志项的示例︰ -
某些应用程序或服务可能无法启动。这些应用程序或服务使用的每个服务 SID 来配置安全设置。
例如︰-
您在基于 Windows Server 2008 R2 的成员服务器上安装 Active Directory 域服务。
-
您的计算机上正在运行 Windows Server 2008 R2 或 Windows 7 到 GPO 中的"用户权限分配"设置进行更改。
-
此 GPO 应用于运行 Windows Server 2008 R2 的域控制器。
在此情况下,您会遇到问题。某些服务,如"诊断系统主机"服务无法启动的问题。
-
原因
当组策略管理编辑器修改在用户权限分配下的设置时,它将翻译服务名称为每个服务 Sid。例如,"WdiSystemHost"服务名称。
组策略管理编辑器不会为服务名称来查找内部"NT 服务"域中添加前缀"NT 服务"。在组策略管理编辑器将以前分析的名称重新写入 GptTmpl.inf 文件,它尝试解析仅针对默认 Active Directory 域的"WdiSystemHost"名称。但是,这种尝试会失败。此外,"WdiSystemHost"字符串写入 GptTmpl.inf 文件,而不是 SID。这种现象与该服务名称替换每个服务 SID。
下一步的策略刷新时,刷新尝试将服务名称解析为一个 SID,好像它是用户或组帐户。不过,失败与错误 0x534"没有帐户名与安全 Id 之间的映射未完成。"
解决方案
注意:此修补程序不会自动解决此问题。应用此修补程序后,必须手动添加直接替代 GptTmpl.inf 文件中的"NT SERVICE\"。例如,必须使用本地组策略编辑器来代替使用"NT SERVICE\WdiSystemHost""WdiSystemHost"。
可以从 Microsoft 获得受支持的修复程序。然而,此修补程序仅用于解决本文中描述的问题。此修复程序仅适用于遇到本文中描述的问题的系统。此修补程序可能会接受进一步的测试。因此,如果这个问题没有对您造成严重的影响,我们建议您等待包含此修复程序的下一个软件更新。
如果此修复程序可供下载,则在此知识库文章的顶部会出现“修补程序下载可用”部分。如果未显示此部分,请与 Microsoft 客户服务和支持部门联系以获取此修复程序。
注意:如果出现其他问题或需要任何故障诊断时,您可能需要创建单独的服务请求。对于不符合此特定的修补程序的其他支持问题和事项将照常收取费用。有关 Microsoft 客户服务和支持电话号码或创建单独的服务请求的完整列表,请访问下面的 Microsoft 网站︰
http://support.microsoft.com/contactus/?ws=support注意:"提供修补程序下载"窗体显示获取此修复程序的语言。如果看不到您的语言,则修补程序没有那种语言的版本。
系统必备组件
若要应用此修补程序,计算机必须运行下列操作系统之一︰
-
Windows 7
-
Windows Server 2008 R2
重启要求
应用此修补程序后,必须重新启动计算机。
修补程序替换信息
此修补程序不替换任何其他修补程序。
文件信息
此修复程序的英文版具有的文件属性 (或更新的文件属性)在下表中列出。日期和为这些文件的时间以协调世界时 (UTC) 列出。当您查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用
时区
选项卡中
日期和时间
在控制面板中的项。
对于所有受支持的基于 x86 的 Windows 7 版本
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
---|---|---|---|---|---|
Scecli.dll |
6.1.7600.20527 |
175,616 |
15-Sep-2009 |
05:59 |
x86 |
Sceregvl.inf |
不适用 |
14,961 |
15-Sep-2009 |
02:18 |
不适用 |
Secrecs.inf |
不适用 |
9,160 |
15-Sep-2009 |
02:18 |
不适用 |
对于所有受支持的 Windows Server 2008 R2 基于 Itanium 的版本
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
---|---|---|---|---|---|
Scecli.dll |
6.1.7600.20527 |
473,088 |
15-Sep-2009 |
04:56 |
IA-64 |
Sceregvl.inf |
不适用 |
14,961 |
15-Sep-2009 |
01:51 |
不适用 |
Secrecs.inf |
不适用 |
9,160 |
15-Sep-2009 |
01:51 |
不适用 |
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
---|---|---|---|---|---|
Scecli.dll |
6.1.7600.20527 |
175,616 |
15-Sep-2009 |
05:59 |
x86 |
对于所有受支持的基于 x64 版本的 Windows Server 2008 R2 和 Windows 7 的
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
---|---|---|---|---|---|
Scecli.dll |
6.1.7600.20527 |
232,448 |
15-Sep-2009 |
06:38 |
x64 |
Sceregvl.inf |
不适用 |
14,961 |
15-Sep-2009 |
02:25 |
不适用 |
Secrecs.inf |
不适用 |
9,160 |
15-Sep-2009 |
02:25 |
不适用 |
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
---|---|---|---|---|---|
Scecli.dll |
6.1.7600.20527 |
175,616 |
15-Sep-2009 |
05:59 |
x86 |
状态
Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。
详细信息
问题发生后,出现以下错误将添加到 Winlogon.log 文件︰
不做错误 1332年︰ 任何帐户名与安全 Id 之间的映射。找不到 < 服务名称 >。
注意:Winlogon.log 文件位于以下文件夹中︰
%windir%\security\logs
如果以下相关的组策略文件夹中打开 GptTmpl.inf 文件,您会发现某些 SQL 服务名称︰
%SYSTEMROOT%\SYSVOL\ < domainname.com > < 唯一 ID > \Machine\Microsoft\Windows NT\SecEdit \Policies\
以下是替代 GptTmpl.inf 文件中找到 WDI 服务名称的示例︰
[特权]
SeAssignPrimaryTokenPrivilege = WdiServiceHost,*S-1-5-20,*S-1-5-19
SeChangeNotifyPrivilege = WdiServiceHost,*S-1-5-32-554,*S-1-5-11,*S-1-5-32-544,*S-1-5-20,*S-1-5-19,*S-1-1-0
注意:此修补程序不会自动解决此问题。应用此修补程序后,必须手动添加直接替代 GptTmpl.inf 文件中的"NT SERVICE\"。例如,必须使用本地组策略编辑器来代替使用"NT SERVICE\WdiSystemHost""WdiSystemHost"。
有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
用于描述 Microsoft 软件更新的标准术语的824684说明
Windows Server 2008 R2 和 Windows 7 的其他文件信息
所有受支持的基于 x86 的 Windows 7 版本的其他文件
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
---|---|---|---|---|---|
Package_for_kb974639_rtm~31bf3856ad364e35~x86~~6.1.1.0.mum |
不适用 |
1,947 |
15-Sep-2009 |
13:35 |
不适用 |
X86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_38b0b74c535a2c7c.manifest |
不适用 |
70,644 |
15-Sep-2009 |
06:32 |
不适用 |
所有支持基于 Itanium 的版本的 Windows Server 2008 R2 的其他文件
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
---|---|---|---|---|---|
Ia64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_38b25b4253583578.manifest |
不适用 |
70,646 |
15-Sep-2009 |
06:53 |
不适用 |
Package_for_kb974639_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mum |
不适用 |
1,958 |
15-Sep-2009 |
13:35 |
不适用 |
Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_9f23fd2240185fad.manifest |
不适用 |
68,202 |
15-Sep-2009 |
06:16 |
不适用 |
对于所有支持基于 x64 版本的 Windows Server 2008 R2 和 Windows 7 的其他文件
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
---|---|---|---|---|---|
Amd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_94cf52d00bb79db2.manifest |
不适用 |
70,648 |
15-Sep-2009 |
08:50 |
不适用 |
Package_for_kb974639_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mum |
不适用 |
2,879 |
15-Sep-2009 |
13:35 |
不适用 |
Wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.20527_none_9f23fd2240185fad.manifest |
不适用 |
68,202 |
15-Sep-2009 |
06:16 |
不适用 |