Condividi tramite

Evento 1202 con stato 0x534 connesso ai controller di dominio Windows Server 2008 R2 dopo aver modificato i criteri di sicurezza

Questo articolo fornisce una soluzione a un evento connesso ai controller di dominio dopo la modifica dei criteri di sicurezza.

Numero KB originale: 2000705

Sintomi

Il registro applicazioni nei controller di dominio di Windows Server 2008 R2 contiene l'ID evento 1202 con il codice di stato "0x534: nessun mapping tra nomi di account e ID di sicurezza è stato eseguito" ogni volta che vengono applicati i criteri di sicurezza. Di seguito è illustrata la parte pertinente dell'ID evento 1202:

Nome log: Applicazione
Origine: SceCli
Data: MM/GG/AAAA HH:MM:SS AM | PM
ID evento: 1202
Categoria attività: Nessuna
Livello: Avviso
Parole chiave: Classico
Utente: N/D
Computer: <nome computer>
Descrizione:
I criteri di sicurezza sono stati propagati con avviso. 0x534: non è stato eseguito alcun mapping tra i nomi degli account e gli ID di sicurezza.

La Guida avanzata per questo problema è disponibile in https://support.microsoft.com. Query per la risoluzione dei problemi relativi agli eventi 1202.

Errore 0x534 si verifica quando un account utente in uno o più oggetti Criteri di gruppo non è stato possibile risolvere un SID. Questo errore è probabilmente causato da un account utente digitato o eliminato erroneamente a cui si fa riferimento nel ramo Diritti utente o Gruppi con restrizioni di un oggetto Criteri di gruppo. Per risolvere questo evento, contattare un amministratore nel dominio per eseguire le azioni seguenti:

The WINLOGON. LOG contiene il testo seguente:

...
Configurare S-1-1-0.
Configurare S-1-5-11.
Configurare S-1-5-32-554.
Configurare S-1-5-32-548.
Configurare S-1-5-32-550.
Configurare S-1-5-9.
Configurare WdiServiceHost.
Errore 1332: non è stato eseguito alcun mapping tra i nomi degli account e gli ID di sicurezza.
Impossibile trovare WdiServiceHost.
Configurare S-1-5-21-2125830507-553053660-2246957542-519.
aggiungere SeTimeZonePrivilege.
Configurazione diritti utente completata con uno o più errori. ...

Per impostazione predefinita, GPTMPL. I criteri INF nei criteri dei controller di dominio predefiniti hanno un aspetto simile al seguente:

SeSystemProfilePrivilege = *S-1-5-80-3139157870-2983391045-3678747466-658725712-1809340420,*S-1-5-32-544

Dopo aver modificato un'impostazione di sicurezza non correlata nei criteri controller di dominio predefiniti, la SeSystemProfilePrivilege voce in Criteri controller di dominio predefiniti viene visualizzata come indicato di seguito:

SeSystemProfilePrivilege = *S-1-5-32-544,WdiServiceHost

Per altre informazioni, vedere Eventi SceCli 1202 registrati ogni volta che le impostazioni di Criteri di gruppo computer vengono aggiornate in un computer che esegue Windows Server 2008 R2 o Windows 7.

Causa

Quando si modifica un'impostazione di sicurezza nei criteri controller di dominio predefiniti utilizzando la Console Gestione Criteri di gruppo dalla console di un controller di dominio Windows Server 2008 R2, Gestione Criteri di gruppo converte erroneamente il SID per l'account Wdiservice nei criteri in un nome utente non riconosciuto dai computer locali in cui viene applicato il criterio. Questo problema si verifica anche quando un computer membro windows 7 o Windows Server 2008 R2 modifica qualsiasi impostazione di sicurezza nei criteri dei controller di dominio predefiniti in un controller di dominio di Windows Server 2008 R2.

Soluzione alternativa

Come soluzione alternativa temporanea, modificare manualmente GPTMPL. File INF aggiungendo il prefisso NT Service\ davanti al nome dell'account wdiservicehost per l'utente Prestazioni del sistema profilo direttamente nei criteri dei controller di dominio predefiniti. Questa operazione deve essere eseguita ogni volta che qualsiasi impostazione di sicurezza nei criteri dei controller di dominio predefiniti viene amministrata con Console Gestione Criteri di gruppo.

Questo passaggio impedirà la registrazione dell'evento 1202 fino alla successiva modifica dei criteri di sicurezza nei criteri dei controller di dominio predefiniti in base alle versioni del sistema operativo pertinenti.

  1. Aprire GPTTMPL. File INF per i criteri dei controller di dominio predefiniti di un controller di dominio che registra l'ID evento 1202. Percorso di GPTTMPL. Il file INF quando SYSVOL si trova al di sotto di %SystemRoot% è:
    %SystemRoot%\Sysvol\domain\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GPTTMPL.INF

  2. Individuare la SeSystemProfilePrivilege voce in GPTTMPL. INF e modificarlo come segue:

    Prima: SeSystemProfilePrivilege = *S-1-5-32-544,WdiServiceHost

    After: SeSystemProfilePrivilege = *S-1-5-32-544,nt service\WdiServiceHost

    Note

    NT Service\ dovrebbe essere visualizzato dopo il delimitatore "," . Non anteporre il prefisso NT Service\ con il carattere "*".

  3. Salvare le modifiche apportate a GPTTMPL.INF.

  4. Da un prompt dei comandi nella console del controller di dominio il cui GPTTMPL. Il file INF è stato modificato nel passaggio 1, digitare Gpupdate /force.

  5. Visualizzare il registro applicazioni per verificare se è stato registrato un ID evento 1202 con codice di stato 0x534. In tal caso, esaminare winLOGON. LOG per verificare se l'evento è stato causato dall'entità di sicurezza WdiServiceHost.

Ulteriori informazioni

Nei criteri dei controller di dominio predefiniti in un controller di dominio Windows Server 2008 R2, il SID per l'account host del servizio di diagnostica (wdiservicehost) viene concesso il SeSystemProfilePrivilege percorso in cui viene aggiunto al sam locale del computer, prelevato da SCE, quindi aggiunto a GPTTMPL.INF.

Quando un'impostazione di sicurezza viene modificata nei criteri dei controller di dominio predefiniti in un controller di dominio di Windows Server 2008, un difetto del codice causa la sostituzione del SID per l'account Wdiservicehost con il relativo account SAM, ma non riesce ad aggiungere il prefisso NT Service\ richiesto da SCECLI per risolvere il nome dell'account. ovvero NT Service\Wdiservicehost.

  1. Il problema descritto in questo criterio si verifica quando l'Editor Gestione Criteri di gruppo nei computer Windows 7 o Windows Server 2008 R2 viene usato per modificare le impostazioni di sicurezza nei criteri dei controller di dominio predefiniti in un controller di dominio di Windows Server 2008.

  2. Questo problema non si verifica quando i criteri di sicurezza vengono modificati nei criteri diversi dai criteri dei controller di dominio predefiniti.

  3. Nonostante la registrazione dell'ID evento 1202 con codice di stato 0x534, questo problema non impedisce ai computer Windows di applicare i criteri di sicurezza contenuti nei criteri dei controller di dominio predefiniti. Tuttavia, non è possibile distinguere un evento falso positivo causato da un errore di configurazione legittimo che impedirà l'applicazione dei criteri di sicurezza, identificati dallo stesso ID evento 1202 e 0x534 codice di stato.

Raccolta dei dati

Se è necessaria assistenza dal supporto tecnico Microsoft, è consigliabile raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni usando TSS per i problemi di Criteri di gruppo.