針對 SCECLI 1202 事件進行疑難解答
本文說明疑難解答和解決 SCECLI 1202 事件的方式。
適用於: 支援的 Windows Server 和 Windows 用戶端版本
原始 KB 編號: 324383
摘要
針對這些事件進行疑難解答的第一個步驟是識別 Win32 錯誤碼。 此錯誤碼會區分造成 SCECLI 1202 事件的失敗類型。 以下是 SCECLI 1202 事件的範例。 錯誤碼會顯示在 [ 描述] 欄位 中。 在此範例中,會0x534錯誤碼。 錯誤碼之後的文字是錯誤描述。 在您判斷錯誤碼之後,請在本文中尋找該錯誤碼一節,然後遵循該區段中的疑難解答步驟。
0x534:未完成帳戶名稱和安全性標識符之間的對應。
或
0x6fc:主域與受信任網域之間的信任關係失敗。
錯誤碼0x534:未完成帳戶名稱和安全性標識符之間的對應
這些錯誤碼表示無法將安全性帳戶解析為安全標識符, (SID) 。 錯誤的發生通常是因為帳戶名稱輸入錯誤,或是因為帳戶在新增至安全策略設定之後遭到刪除。 它通常會出現在安全策略設定的 [用戶權力] 區段或 [限制 群組] 區段中。 如果帳戶存在於信任之間,然後信任關係中斷,也可能會發生此情況。
若要疑難排解此問題,請遵循下列步驟:
判斷造成失敗的帳戶。 若要這樣做,請啟用安全性設定客戶端擴充功能的偵錯記錄:
啟動 [登錄編輯程式]。
找出並選取下列登錄子機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
在 [ 編輯] 功能表上,選取 [ 新增值],然後新增下列登錄值:
- 值名稱:ExtensionDebugLevel
- 資料類型:DWORD
- 值數據:2
結束 [登錄編輯程式]。
重新整理原則設定以重現失敗。 若要重新整理原則設定,請在命令提示字元中輸入下列命令,然後按 ENTER:
gpupdate /target:computer /force
此命令會在資料夾中
%SYSTEMROOT%\Security\Logs
建立名為 Winlogon.log 的檔案。尋找問題帳戶。 若要這樣做,請在命令提示字元中輸入下列命令,然後按 ENTER:
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
[尋找] 輸出會識別問題帳戶名稱,例如 找不到 MichaelPeltier。 在此範例中,用戶帳戶 MichaelPeltier 不存在於網域中。 或者,它有不同的拼字,例如PelerPeltier。
判斷為何無法解析此帳戶。 例如,尋找印刷錯誤、已刪除的帳戶、套用至此計算機的錯誤原則,或信任問題。
如果您判斷帳戶必須從原則中移除,請尋找問題原則和問題設定。 若要判斷哪一個設定包含無法解析的帳戶,請在產生 SCECLI 1202 事件之電腦上的命令提示字元中輸入下列命令,然後按 ENTER:
c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*
在此範例中,語法和結果為:
c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelPeltier,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
它會將 GPT00002.inf 識別為問題 群組原則 物件 (包含問題設定之 GPO) 快取的安全性範本。 它也會將問題設定識別為 SeInteractiveLogonRight。 SeInteractiveLogonRight 的顯示名稱是在 本機登入。
如需常數 (的對應,例如 SeInteractiveLogonRight) 至其顯示名稱 (例如,在本機登入) ,請參閱 用戶權力指派。
判斷哪個 GPO 包含問題設定。 搜尋 您在步驟 4 中針對文字
GPOPath=
識別的快取安全性範本。 在此範例中,您會看到:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
{6AC1786C-016F-11D2-945F-00C04FB984F9} 是 GPO 的 GUID。
若要尋找 GPO 的易記名稱,請在域控制器上使用 PowerShell Cmdlet Get-GPO -Guid (DC) 或已安裝 Active Directory (AD) 遠端伺服器管理員工具 (RSAT) 工具的伺服器。
GPO 的易記名稱會顯示在
DisplayName
欄位旁邊:Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9 DisplayName : Default Domain Controllers Policy DomainName : contoso.com Owner : CONTOSO\Domain Admins
現在您已識別出問題帳戶、問題設定和問題 GPO。 若要解決問題,請移除或取代問題專案。
錯誤碼0x2:系統找不到指定的檔案
此錯誤類似於 0x534和 0x6fc。 這是由無法解析的帳戶名稱所造成。 發生0x2錯誤時,通常表示無法解析的帳戶名稱是在限制 群組 原則設定中指定。
若要疑難排解此問題,請遵循下列步驟:
判斷哪一個服務或哪個對象發生失敗。 若要這樣做,請啟用安全性設定客戶端擴充功能的偵錯記錄:
啟動 [登錄編輯程式]。
找出並選取下列登錄子機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
在 [ 編輯] 功能表上,選取 [ 新增值],然後新增下列登錄值:
- 值名稱:ExtensionDebugLevel
- 資料類型:DWORD
- 值數據:2
結束 [登錄編輯程式]。
重新整理原則設定以重現失敗。 若要重新整理原則設定,請在命令提示字元中輸入下列命令,然後按 ENTER:
gpupdate /target:computer /force
此命令會在資料夾中
%SYSTEMROOT%\Security\Logs
建立名為 Winlogon.log 的檔案。在命令提示字元處輸入下列命令,然後按 ENTER:
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
[尋找] 輸出會識別問題帳戶名稱,例如 找不到 MichaelPeltier。 在此範例中,用戶帳戶 MichaelPeltier 不存在於網域中。 或者,它有不同的拼字,例如,PelerPeltier。
判斷為何無法解析此帳戶。 例如,尋找印刷錯誤、已刪除的帳戶、套用到這部計算機的錯誤原則,或信任問題。
如果您判斷帳戶必須從原則中移除,請尋找問題原則和問題設定。 若要尋找包含未解析帳戶的設定,請在產生 SCECLI 1202 事件之電腦上的命令提示字元輸入下列命令,然後按 ENTER:
c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*
在此範例中,語法和結果為:
c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
它會從包含問題設定的問題 GPO 中,將 GPT00002.inf 識別為快取的安全性範本。 它也會將問題設定識別為 SeInteractiveLogonRight。 SeInteractiveLogonRight 的顯示名稱是在 本機登入。
如需常數 (的對應,例如 SeInteractiveLogonRight) 至其顯示名稱 (例如,在本機登入) ,請參閱 用戶權力指派。
判斷哪個 GPO 包含問題設定。 搜尋 您在步驟 4 中針對文字
GPOPath=
識別的快取安全性範本。 在此範例中,您會看到:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
{6AC1786C-016F-11D2-945F-00C04FB984F9} 是 GPO 的 GUID。
若要尋找 GPO 的易記名稱,請在 DC 或已安裝 AD RSAT 工具的伺服器上使用 PowerShell Cmdlet Get-GPO -Guid 。
GPO 的易記名稱會顯示在
DisplayName
欄位旁邊:Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9 DisplayName : Default Domain Controllers Policy DomainName : contoso.com Owner : CONTOSO\Domain Admins
您現在已識別出問題帳戶、問題設定和問題 GPO。 若要解決此問題,請在安全策略的 [限制 群組] 區段中搜尋問題帳戶的實例 (此範例中的 MichaelPeltier) ,然後移除或取代問題專案。
錯誤碼0x5:拒絕存取
當系統尚未獲得更新服務訪問控制清單的正確許可權時,通常會發生此錯誤。 如果系統管理員在原則中定義服務的許可權,但未授與系統帳戶完全控制許可權,就可能發生此情況。
若要疑難排解此問題,請遵循下列步驟:
判斷哪一個服務或哪個對象發生失敗。 若要這樣做,請啟用安全性設定客戶端擴充功能的偵錯記錄:
啟動 [登錄編輯程式]。
找出並選取下列登錄子機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
在 [ 編輯] 功能表上,選取 [ 新增值],然後新增下列登錄值:
- 值名稱:ExtensionDebugLevel
- 資料類型:DWORD
- 值數據:2
結束 [登錄編輯程式]。
重新整理原則設定以重現失敗。 若要重新整理原則設定,請在命令提示字元中輸入下列命令,然後按 ENTER:
gpupdate /target:computer /force
此命令會在資料夾中
%SYSTEMROOT%\Security\Logs
建立名為 Winlogon.log 的檔案。在命令提示字元中輸入下列命令,然後按 ENTER:
find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.log
[尋找] 輸出會識別具有錯誤設定許可權的服務,例如 開啟 Dnscache 時發生錯誤。 Dnscache 是 DNS 用戶端服務的簡短名稱。
瞭解哪些原則或哪些原則嘗試修改服務許可權。 若要這樣做,請在命令提示字元中輸入下列命令,然後按 ENTER:
find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*
以下是範例命令及其輸出:
d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)" ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
判斷哪個 GPO 包含問題設定。 搜尋 您在步驟 4 中為文字
GPOPath=
識別的快取安全性範本。 在此範例中,您會看到:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE
{6AC1786C-016F-11D2-945F-00C04FB984F9} 是 GPO 的 GUID。
若要尋找 GPO 的易記名稱,請在 DC 或已安裝 AD RSAT 工具的伺服器上使用 PowerShell Cmdlet Get-GPO -Guid 。
GPO 的易記名稱會顯示在
DisplayName
欄位旁邊:Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9 DisplayName : Default Domain Controllers Policy DomainName : contoso.com Owner : CONTOSO\Domain Admins
現在您已識別出具有錯誤設定許可權的服務和問題 GPO。 若要解決此問題,請在安全策略的 [系統服務] 區段中,搜尋具有錯誤設定許可權的服務實例。 然後採取更正動作,將系統帳戶完全控制許可權授與服務。
錯誤碼0x4b8:發生擴充錯誤
0x4b8錯誤是泛型的,而且可能是許多不同問題所造成。 若要針對這些錯誤進行疑難解答,請遵循下列步驟:
開啟安全性設定客戶端擴充功能的偵錯記錄:
啟動 [登錄編輯程式]。
找出並選取下列登錄子機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
在 [ 編輯] 功能表上,選取 [ 新增值],然後新增下列登錄值:
- 值名稱:ExtensionDebugLevel
- 資料類型:DWORD
- 值數據:2
結束 [登錄編輯程式]。
重新整理原則設定以重現失敗。 若要重新整理原則設定,請在命令提示字元中輸入下列命令,然後按 ENTER:
gpupdate /target:computer /force
此命令會在資料夾中
%SYSTEMROOT%\Security\Logs
建立名為 Winlogon.log 的檔案。請參閱 應用程式記錄中重複記錄 ESENT 事件識別碼 1000、1202、412 和 454。 本文說明造成0x4b8錯誤的已知問題。
資料收集
如果您需要 Microsoft 支援服務的協助,建議您依照使用 TSS 收集資訊中所述的步驟來收集資訊,以 群組原則 問題。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應