Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Lösung für ein ereignis, das auf Domänencontrollern angemeldet ist, nachdem die Sicherheitsrichtlinie geändert wurde.
Ursprüngliche KB-Nummer: 2000705
Symptome
Das Anwendungsprotokoll auf Windows Server 2008 R2-Domänencontrollern enthält Ereignis-ID 1202 mit Statuscode "0x534: Keine Zuordnung zwischen Kontonamen und Sicherheits-IDs wurde durchgeführt", wenn sicherheitsrichtlinien angewendet werden. Der relevante Teil der Ereignis-ID 1202 ist unten dargestellt:
Protokollname: Application
Quelle: SceCli
Datum: MM/TT/JJJJ HH:MM:SS AM | NACHMITTAGS
Ereignis-ID: 1202
Aufgabenkategorie: Keine
Ebene: Warnung
Schlüsselwörter: Klassisch
Benutzer: N/V
Computer: <Computername>
Beschreibung:
Sicherheitsrichtlinien wurden mit Warnung weitergegeben. 0x534: Es wurde keine Zuordnung zwischen Kontonamen und Sicherheits-IDs durchgeführt.Erweiterte Hilfe zu diesem Problem ist verfügbar.https://support.microsoft.com Abfrage nach "Problembehandlung für 1202-Ereignisse".
Fehler 0x534 tritt auf, wenn ein Benutzerkonto in einem oder mehreren Gruppenrichtlinienobjekten (GROUP Policy Objects, GPOs) nicht in eine SID aufgelöst werden konnte. Dieser Fehler wird möglicherweise durch ein falsch eingegebenes oder gelöschtes Benutzerkonto verursacht, auf das entweder in der Verzweigung "Benutzerrechte" oder "Eingeschränkte Gruppen" eines Gruppenrichtlinienobjekts verwiesen wird. Um dieses Ereignis zu beheben, wenden Sie sich an einen Administrator in der Domäne, um die folgenden Aktionen auszuführen:
Das WINLOGON. LOG enthält den folgenden Text:
...
Konfigurieren Sie S-1-1-0.
Konfigurieren Sie S-1-5-11.
Konfigurieren Sie S-1-5-32-554.
Konfigurieren Sie S-1-5-32-548.
Konfigurieren Sie S-1-5-32-550.
Konfigurieren Sie S-1-5-9.
Konfigurieren Sie WdiServiceHost.
Fehler 1332: Es wurde keine Zuordnung zwischen Kontonamen und Sicherheits-IDs durchgeführt.
WdiServiceHost wurde nicht gefunden.
Konfigurieren Sie S-1-5-21-2125830507-553053660-2246957542-519.
seTimeZonePrivilege hinzufügen.
Die Konfiguration von Benutzerrechten wurde mit mindestens einem Fehler abgeschlossen. ...
Standardmäßig ist die GPTMPL. INF-Richtlinie in der Standard-Domänencontrollerrichtlinie sieht wie folgt aus:
SeSystemProfilePrivilege = *S-1-5-80-3139157870-2983391045-3678747466-658725712-1809340420,*S-1-5-32-544
Sobald eine nicht verknüpfte Sicherheitseinstellung in der Standarddomänencontrollerrichtlinie geändert wurde, wird der Eintrag in der SeSystemProfilePrivilege Standarddomänencontrollerrichtlinie wie folgt angezeigt:
SeSystemProfilePrivilege = *S-1-5-32-544,WdiServiceHost
Weitere Informationen finden Sie unter SceCli 1202-Ereignisse, wenn Computer-Gruppenrichtlinieneinstellungen auf einem Computer aktualisiert werden, auf dem Windows Server 2008 R2 oder Windows 7 ausgeführt wird.
Ursache
Beim Ändern einer Sicherheitseinstellung in der Standarddomänencontrollerrichtlinie mithilfe der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) über die Konsole eines Windows Server 2008 R2-Domänencontrollers übersetzt die GPMC fälschlicherweise die SID für das Wdiservice-Konto in der Richtlinie in einen Benutzernamen, der von den lokalen Computern, auf denen die Richtlinie erzwungen wird, nicht erkannt wird. Dieses Problem tritt auch auf, wenn ein Windows 7- oder Windows Server 2008 R2-Mitgliedscomputer alle Sicherheitseinstellungen in der Standard-Domänencontrollerrichtlinie auf einem Windows Server 2008 R2-Domänencontroller ändert.
Problemumgehung
Als temporäre Problemumgehung bearbeiten Sie die GPTMPL manuell. INF-Datei durch Hinzufügen des PRÄfixes NT Service\ vor dem Namen des wdiservicehost-Kontos für den Profilsystemleistungsbenutzer direkt in der Standard-Domänencontrollerrichtlinie. Dies muss jedes Mal durchgeführt werden, wenn jede Sicherheitseinstellung in der Standarddomänencontrollerrichtlinie mit gpMC verwaltet wird.
In diesem Schritt wird verhindert, dass das Ereignis 1202 protokolliert wird, bis die Sicherheitsrichtlinie das nächste Mal in der Standarddomänencontrollerrichtlinie von den relevanten Betriebssystemversionen geändert wird.
Öffnen Sie die GPTTMPL. INF-Datei für die Standard-Domänencontrollerrichtlinie eines Domänencontrollers, der die Ereignis-ID 1202 protokolliert. Der Pfad zur GPTTMPL. INF-Datei, wenn SICH SYSVOL unter %SystemRoot% befindet:
%SystemRoot%\Sysvol\domain\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GPTTMPL.INFSuchen Sie den
SeSystemProfilePrivilegeEintrag in der GPTTMPL. INF und ändern sie wie folgt:Before:
SeSystemProfilePrivilege= *S-1-5-32-544,WdiServiceHostAfter:
SeSystemProfilePrivilege= *S-1-5-32-544,nt service\WdiServiceHostNotiz
NT-Dienst\ sollte nach dem Trennzeichen "," angezeigt werden. Präfix NT Service\ nicht mit dem Zeichen "*" voranstellen.
Speichern Sie die Änderungen an GPTTMPL.INF.
Über eine Eingabeaufforderung auf der Konsole des Domänencontrollers, deren GPTTMPL verwendet wird. DIE INF-Datei wurde in Schritt 1 geändert, geben Sie "Gpupdate /force" ein .
Zeigen Sie das Anwendungsprotokoll an, um festzustellen, ob eine Ereignis-ID 1202 mit Statuscode 0x534 protokolliert wurde. Wenn ja, überprüfen Sie das WINLOGON. Log to see if the event was caused by the WdiServiceHost security principal.
Weitere Informationen
In der Standarddomänencontrollerrichtlinie auf einem Windows Server 2008 R2-Domänencontroller wird die SID für das Diagnosediensthost-Konto (wdiservicehost) dem SeSystemProfilePrivilege ortsbasierten SAM des Computers gewährt, das von SCE abgerufen und dann der GPTTMPL.INF hinzugefügt wird.
Wenn eine Sicherheitseinstellung in der Standard-Domänencontrollerrichtlinie auf einem Windows Server 2008-Domänencontroller geändert wird, führt ein Codefehler dazu, dass die SID für das Wdiservicehost-Konto durch sein SAM-Konto ersetzt wird, aber das von SCECLI erforderliche NT-Dienst-Präfix nicht hinzugefügt wird, um den Namen des Kontos aufzulösen. (d. h. NT-Dienst\Wdiservicehost).
Das in dieser Richtlinie beschriebene Problem tritt auf, wenn der Gruppenrichtlinienverwaltungs-Editor auf Windows 7- oder Windows Server 2008 R2-Computern verwendet wird, um Sicherheitseinstellungen in der Standard-Domänencontrollerrichtlinie auf einem Windows Server 2008-Domänencontroller zu ändern.
Dieses Problem tritt nicht auf, wenn die Sicherheitsrichtlinie in anderen Richtlinien als der Standarddomänencontrollerrichtlinie geändert wird.
Trotz der Protokollierung der Ereignis-ID 1202 mit Statuscode 0x534 verhindert dieses Problem nicht, dass Windows-Computer Sicherheitsrichtlinien anwenden, die in der Standarddomänencontrollerrichtlinie enthalten sind. Es gibt jedoch keine Möglichkeit, ein falsch positives Ereignis, das durch dieses Problem verursacht wird, von einer legitimen Fehlkonfiguration zu unterscheiden, die verhindert, dass Sicherheitsrichtlinien angewendet werden, die durch dieselbe Ereignis-ID 1202 und 0x534 Statuscode identifiziert werden.
Datensammlung
Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir Ihnen, die Informationen zu sammeln, indem Sie die unter " Sammeln von Informationen" genannten Schritte unter Verwendung von TSS für Gruppenrichtlinienprobleme ausführen.