Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve maneiras de solucionar problemas e resolver eventos SCECLI 1202.
Aplica-se a: Versões com suporte do Windows Server e do Cliente Windows
Número original do KB: 324383
Resumo
A primeira etapa na solução desses eventos é identificar o código de erro do Win32. Esse código de erro distingue o tipo de falha que causa o evento SCECLI 1202. Abaixo está um exemplo de um evento SCECLI 1202. O código de erro é mostrado no campo Descrição . Neste exemplo, o código de erro é 0x534. O texto após o código de erro é a descrição do erro. Depois de determinar o código de erro, localize essa seção de código de erro neste artigo e siga as etapas de solução de problemas nessa seção.
0x534: Nenhum mapeamento entre nomes de conta e IDs de segurança foi feito.
ou
0x6fc: A relação de confiança entre o domínio primário e o domínio confiável falhou.
Código de erro 0x534: nenhum mapeamento entre nomes de conta e IDs de segurança foi feito
Esses códigos de erro significam que houve uma falha ao resolver uma conta de segurança para um SID (identificador de segurança). O erro geralmente ocorre porque um nome de conta foi digitado incorretamente ou porque a conta foi excluída depois de ser adicionada à configuração da política de segurança. Normalmente, ocorre na seção Direitos do Usuário ou na seção Grupos Restritos da configuração da política de segurança. Também pode ocorrer se a conta existir em uma relação de confiança e, em seguida, a relação de confiança for interrompida.
Para solucionar essa questão, siga estas etapas:
Determine a conta que está causando a falha. Para fazer isso, habilite o log de depuração para a extensão do lado do cliente da Configuração de Segurança:
Abra o Editor do Registro.
Localize e selecione a seguinte subchave de Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}No menu Editar, selecione Adicionar Valor e adicione o seguinte valor do Registro:
- Nome do valor: ExtensionDebugLevel
- Tipo de dados: DWORD
- Dados do valor: 2
Saia do Editor do Registro.
Atualize as configurações de política para reproduzir a falha. Para atualizar as configurações de política, digite o seguinte comando no prompt de comando e pressione ENTER:
gpupdate /target:computer /forceEsse comando cria um arquivo chamado Winlogon.log na
%SYSTEMROOT%\Security\Logspasta.Encontre a conta com problema. Para fazer isso, digite o seguinte comando no prompt de comando e pressione ENTER:
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.logA saída Find identifica os nomes de conta com problema, por exemplo, Não é possível encontrar MichaelPeltier. Neste exemplo, a conta de usuário MichaelPeltier não existe no domínio. Ou tem uma grafia diferente, como MichellePeltier.
Determine por que essa conta não pode ser resolvida. Por exemplo, procure erros tipográficos, uma conta excluída, a política errada que se aplica a este computador ou um problema de confiança.
Se você determinar que a conta deve ser removida da política, localize a política de problemas e a configuração de problemas. Para determinar qual configuração contém a conta não resolvida, digite o seguinte comando no prompt de comando no computador que está produzindo o evento SCECLI 1202 e pressione ENTER:
c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*Para este exemplo, a sintaxe e os resultados são:
c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelPeltier,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMEle identifica GPT00002.inf como o modelo de segurança armazenado em cache do GPO (objeto de Diretiva de Grupo) com problema que contém a configuração do problema. Ele também identifica a configuração do problema como SeInteractiveLogonRight. O nome de exibição de SeInteractiveLogonRight é Logon localmente.
Para obter um mapa das constantes (por exemplo, SeInteractiveLogonRight) para seus nomes de exibição (por exemplo, Logon localmente), consulte Atribuição de Direitos de Usuário.
Determine qual GPO contém a configuração do problema. Pesquise o
GPOPath=texto no modelo de segurança armazenado em cache identificado na etapa 4 . Neste exemplo, você veria:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04FB984F9} é o GUID do GPO.
Para localizar o nome amigável do GPO, use o cmdlet do PowerShell Get-GPO -Guid em um controlador de domínio (DC) ou em um servidor com ferramentas RSAT (Ferramentas de Administrador de Servidor Remoto) do Active Directory (AD) instaladas.
O nome amigável do GPO é mostrado ao lado do
DisplayNamecampo:Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9 DisplayName : Default Domain Controllers Policy DomainName : contoso.com Owner : CONTOSO\Domain Admins
Agora você identificou a conta com problema, a configuração do problema e o GPO com problema. Para resolver o problema, remova ou substitua a entrada do problema.
Código de erro 0x2: O sistema não consegue encontrar o arquivo especificado
Esse erro é semelhante ao 0x534 e ao 0x6fc. É causado por um nome de conta insolúvel. Quando ocorre o erro de 0x2, ele normalmente indica que o nome da conta insolúvel é especificado em uma configuração de política de Grupos Restritos.
Para solucionar essa questão, siga estas etapas:
Determine qual serviço ou objeto está tendo a falha. Para fazer isso, habilite o log de depuração para a extensão do lado do cliente da Configuração de Segurança:
Abra o Editor do Registro.
Localize e selecione a seguinte subchave de Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}No menu Editar, selecione Adicionar Valor e adicione o seguinte valor do Registro:
- Nome do valor: ExtensionDebugLevel
- Tipo de dados: DWORD
- Dados do valor: 2
Saia do Editor do Registro.
Atualize as configurações de política para reproduzir a falha. Para atualizar as configurações de política, digite o seguinte comando no prompt de comando e pressione ENTER:
gpupdate /target:computer /forceEsse comando cria um arquivo chamado Winlogon.log na
%SYSTEMROOT%\Security\Logspasta.No prompt de comando, digite o seguinte comando e pressione ENTER:
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.logA saída Find identifica os nomes de conta com problema, por exemplo, Não é possível encontrar MichaelPeltier. Neste exemplo, a conta de usuário MichaelPeltier não existe no domínio. Ou tem uma grafia diferente - por exemplo, MichellePeltier.
Determine por que essa conta não pode ser resolvida. Por exemplo, procure erros tipográficos, uma conta excluída, a política errada que se aplica a este computador ou um problema de confiança.
Se você determinar que a conta precisa ser removida da política, localize a política de problemas e a configuração de problemas. Para descobrir qual configuração contém a conta não resolvida, digite o seguinte comando no prompt de comando no computador que está produzindo o evento SCECLI 1202 e pressione ENTER:
c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*Para este exemplo, a sintaxe e os resultados são:
c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMEle identifica GPT00002.inf como o modelo de segurança armazenado em cache do GPO com problema que contém a configuração do problema. Ele também identifica a configuração do problema como SeInteractiveLogonRight. O nome de exibição de SeInteractiveLogonRight é Logon localmente.
Para obter um mapa das constantes (por exemplo, SeInteractiveLogonRight) para seus nomes de exibição (por exemplo, Logon localmente), consulte Atribuição de Direitos de Usuário.
Determine qual GPO contém a configuração do problema. Pesquise o
GPOPath=texto no modelo de segurança armazenado em cache identificado na etapa 4 . Neste exemplo, você veria:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04FB984F9} é o GUID do GPO.
Para encontrar o nome amigável do GPO, use o cmdlet do PowerShell Get-GPO -Guid em um DC ou em um servidor com ferramentas AD RSAT instaladas.
O nome amigável do GPO é mostrado ao lado do
DisplayNamecampo:Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9 DisplayName : Default Domain Controllers Policy DomainName : contoso.com Owner : CONTOSO\Domain Admins
Agora você identificou a conta com problema, a configuração do problema e o GPO com problema. Para resolver o problema, pesquise na seção Grupos Restritos da política de segurança instâncias da conta com problema (neste exemplo, MichaelPeltier) e remova ou substitua a entrada do problema.
Código de erro 0x5: Acesso negado
Esse erro geralmente ocorre quando o sistema não recebeu as permissões corretas para atualizar a lista de controle de acesso de um serviço. Isso pode ocorrer se o Administrador definir permissões para um serviço em uma política, mas não conceder permissões de Controle Total à conta do sistema.
Para solucionar essa questão, siga estas etapas:
Determine qual serviço ou objeto está tendo a falha. Para fazer isso, habilite o log de depuração para a extensão do lado do cliente da Configuração de Segurança:
Abra o Editor do Registro.
Localize e selecione a seguinte subchave de Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}No menu Editar, selecione Adicionar Valor e adicione o seguinte valor do Registro:
- Nome do valor: ExtensionDebugLevel
- Tipo de dados: DWORD
- Dados do valor: 2
Saia do Editor do Registro.
Atualize as configurações de política para reproduzir a falha. Para atualizar as configurações de política, digite o seguinte comando no prompt de comando e pressione ENTER:
gpupdate /target:computer /forceEsse comando cria um arquivo chamado Winlogon.log na
%SYSTEMROOT%\Security\Logspasta.No prompt de comando, digite o seguinte e pressione ENTER:
find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.logA saída Find identifica o serviço com as permissões configuradas incorretamente, por exemplo, Erro ao abrir Dnscache. Dnscache é o nome abreviado do serviço DNS Client.
Descubra qual política ou quais políticas estão tentando modificar as permissões de serviço. Para fazer isso, digite o seguinte comando no prompt de comando e pressione ENTER:
find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*Abaixo está um exemplo de comando e sua saída:
d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)" ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMDetermine qual GPO contém a configuração do problema. Pesquise o
GPOPath=texto no modelo de segurança armazenado em cache identificado na etapa 4 . Neste exemplo, você veria:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04FB984F9} é o GUID do GPO.
Para encontrar o nome amigável do GPO, use o cmdlet do PowerShell Get-GPO -Guid em um DC ou em um servidor com ferramentas AD RSAT instaladas.
O nome amigável do GPO é mostrado ao lado do
DisplayNamecampo:Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9 DisplayName : Default Domain Controllers Policy DomainName : contoso.com Owner : CONTOSO\Domain Admins
Agora você identificou o serviço com as permissões configuradas incorretamente e o GPO com problema. Para resolver o problema, pesquise na seção Serviços do sistema da política de segurança as instâncias do serviço com as permissões configuradas incorretamente. Em seguida, execute uma ação corretiva para conceder à conta do sistema permissões de Controle Total para o serviço.
Código de erro 0x4b8: ocorreu um erro estendido
O erro 0x4b8 é genérico e pode ser causado por muitos problemas diferentes. Para solucionar esses erros, siga estas etapas:
Habilite o log de depuração para a extensão do lado do cliente da Configuração de Segurança:
Abra o Editor do Registro.
Localize e selecione a seguinte subchave de Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}No menu Editar, selecione Adicionar Valor e adicione o seguinte valor do Registro:
- Nome do valor: ExtensionDebugLevel
- Tipo de dados: DWORD
- Dados do valor: 2
Saia do Editor do Registro.
Atualize as configurações de política para reproduzir a falha. Para atualizar as configurações de política, digite o seguinte comando no prompt de comando e pressione ENTER:
gpupdate /target:computer /forceEsse comando cria um arquivo chamado Winlogon.log na
%SYSTEMROOT%\Security\Logspasta.Consulte Os IDs de evento ESENT 1000, 1202, 412 e 454 são registrados repetidamente no log do aplicativo. Este artigo descreve os problemas conhecidos que causam o erro 0x4b8.
Coleta de dados
Se você precisar de ajuda do suporte da Microsoft, recomendamos que você colete as informações seguindo as etapas mencionadas em Coletar informações usando o TSS para problemas de Política de Grupo.