この記事では、セキュリティ ポリシーを変更した後にドメイン コントローラーにログオンしたイベントに対するソリューションを提供します。
元の KB 番号: 2000705
現象
Windows Server 2008 R2 ドメイン コントローラーのアプリケーション ログには、セキュリティ ポリシーが適用されるたびに、状態コード "0x534: アカウント名とセキュリティ ID の間のマッピングが行われなかった" イベント ID 1202 が含まれています。 イベント ID 1202 の関連部分を次に示します。
ログ名: Application
ソース: SceCli
日付: MM/DD/YYYY HH:MM:SS AM |午後
イベント ID: 1202
タスク カテゴリ: なし
レベル: 警告
キーワード: クラシック
ユーザー: N/A
コンピューター: <コンピューター名>
説明:
セキュリティ ポリシーは警告と共に伝達されました。 0x534: アカウント名とセキュリティ ID の間のマッピングは行われませんでした。この問題の高度なヘルプは、 https://support.microsoft.comで入手できます。 "1202 イベントのトラブルシューティング" のクエリを実行します。
エラー 0x534は、1 つ以上のグループ ポリシー オブジェクト (GPO) のユーザー アカウントを SID に解決できなかった場合に発生します。 このエラーは、GPO の [ユーザー権限] または [制限付きグループ] ブランチで参照されているユーザー アカウントの入力ミスまたは削除が原因である可能性があります。 このイベントを解決するには、ドメインの管理者に連絡して、次のアクションを実行します。
WINLOGON。LOG には、次のテキストが含まれています。
...
S-1-1-0 を構成します。
S-1-5-11 を構成します。
S-1-5-32-554 を構成します。
S-1-5-32-548 を構成します。
S-1-5-32-550 を構成します。
S-1-5-9 を構成します。
WdiServiceHost を構成します。
エラー 1332: アカウント名とセキュリティ ID の間のマッピングが行われませんでした。
WdiServiceHost が見つかりません。
S-1-5-21-2125830507-553053660-2246957542-519 を構成します。
SeTimeZonePrivilege を追加します。
ユーザー権利の構成が 1 つ以上のエラーで完了しました。 ...
既定では、GPTMPL です。既定のドメイン コントローラー ポリシーの INF ポリシーは次のようになります。
SeSystemProfilePrivilege = *S-1-5-80-3139157870-2983391045-3678747466-658725712-1809340420,*S-1-5-32-5444
既定のドメイン コントローラー ポリシーで関連のないセキュリティ設定が変更されると、既定のドメイン コントローラー ポリシーの SeSystemProfilePrivilege エントリが次のように表示されます。
SeSystemProfilePrivilege = *S-1-5-32-544,WdiServiceHost
詳細については、「 SceCli 1202 イベントは、Windows Server 2008 R2 または Windows 7 を実行しているコンピューターでコンピューター グループ ポリシー設定が更新されるたびにログに記録を参照してください。
原因
Windows Server 2008 R2 ドメイン コントローラーのコンソールからグループ ポリシー管理コンソール (GPMC) を使用して既定のドメイン コントローラー ポリシーのセキュリティ設定を変更すると、GPMC はポリシー内の Wdiservice アカウントの SID を、ポリシーが適用されているローカル コンピューターでは認識されないユーザー名に誤って変換します。 この問題は、Windows 7 または Windows Server 2008 R2 メンバー コンピューターが Windows Server 2008 R2 ドメイン コントローラーの既定のドメイン コントローラー ポリシーのセキュリティ設定を変更した場合にも発生します。
回避策
一時的な回避策として、GPTMPL を手動で編集します。
この手順により、関連するオペレーティング システムのバージョンによって既定のドメイン コントローラー ポリシーで次回セキュリティ ポリシーが変更されるまで、1202 イベントがログに記録されなくなります。
GPTTMPL を開きます。イベント ID 1202 をログに記録するドメイン コントローラーの既定のドメイン コントローラー ポリシーの INF ファイル。 GPTTMPL へのパス。SYSVOL が %SystemRoot% より下にある場合の INF ファイルは次のとおりです。
%SystemRoot%\Sysvol\domain\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GPTTMPL.INFGPTTMPL で
SeSystemProfilePrivilegeエントリを見つけます。INF を使用し、次のように変更します。前:
SeSystemProfilePrivilege= *S-1-5-32-544,WdiServiceHostAfter:
SeSystemProfilePrivilege= *S-1-5-32-544,nt service\WdiServiceHostNote
NT Service\ は、"," 区切り記号の後に表示されます。 NT Service\ の先頭に "*" 文字を付けないでください。
GPTTMPL.INF への変更を保存します。
GPTTMPL を持つドメイン コントローラーのコンソールのコマンド プロンプトから。INF ファイルは手順 1 で変更されました。「 Gpupdate /force」と入力します。
アプリケーション ログを表示して、状態コードが0x534されたイベント ID 1202 がログに記録されたかどうかを確認します。 その場合は、WINLOGON を確認します。イベントが WdiServiceHost セキュリティ プリンシパルによって発生したかどうかを確認する LOG。
詳細
Windows Server 2008 R2 ドメイン コントローラーの既定のドメイン コントローラー ポリシーでは、診断サービス ホスト (wdiservicehost) アカウントの SID に、コンピューターのローカル SAM に追加された SeSystemProfilePrivilege が付与され、SCE によって取得され、GPTTMPL.INF に追加されます。
Windows Server 2008 ドメイン コントローラーの既定のドメイン コントローラー ポリシーでセキュリティ設定が変更されると、コードの欠陥により、Wdiservicehost アカウントの SID が SAM アカウントに置き換えられますが、SCECLI で必要な NT Service\ プレフィックスを追加してアカウントの名前を解決できません。 (つまり、NT Service\Wdiservicehost)。
このポリシーで説明されている問題は、Windows 7 または Windows Server 2008 R2 コンピューターのグループ ポリシー管理エディターを使用して、Windows Server 2008 ドメイン コントローラーの既定のドメイン コントローラー ポリシーのセキュリティ設定を変更するときに発生します。
この問題は、既定のドメイン コントローラー ポリシー以外のポリシーでセキュリティ ポリシーが変更された場合には発生しません。
状態コードが0x534イベント ID 1202 のログ記録にもかかわらず、この問題により、Windows コンピューターが既定のドメイン コントローラー ポリシーに含まれるセキュリティ ポリシーを適用できないわけではありません。 ただし、この問題に起因する誤検知イベントを、同じイベント ID 1202 と0x534状態コードによって識別される、セキュリティ ポリシーの適用を妨げる正当な構成ミスと区別する方法はありません。
データ収集
Microsoft サポートからのサポートが必要な場合は、グループ ポリシーの問題に TSS を使用して Gather 情報に記載されている手順に従って情報を収集することをお勧めします。