Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описаны способы устранения неполадок и устранения событий SCECLI 1202.
Область применения: поддерживаемые версии Windows Server и клиента Windows
Исходный номер базы знаний: 324383
Итоги
Первым шагом в устранении неполадок этих событий является определение кода ошибки Win32. Этот код ошибки отличает тип сбоя, который вызывает событие SCECLI 1202. Ниже приведен пример события SCECLI 1202. Код ошибки отображается в поле "Описание ". В этом примере код ошибки 0x534. Текст после кода ошибки — это описание ошибки. После определения кода ошибки найдите этот раздел кода ошибки в этой статье, а затем выполните действия по устранению неполадок в этом разделе.
0x534. Не было выполнено сопоставление имен учетных записей и идентификаторов безопасности.
or
0x6fc. Сбой отношения доверия между основным доменом и доверенным доменом.
Код ошибки 0x534: не было выполнено сопоставление имен учетных записей и идентификаторов безопасности.
Эти коды ошибок означают, что произошел сбой разрешения учетной записи безопасности идентификатору безопасности (SID). Ошибка обычно возникает из-за неправильного типа имени учетной записи или удаления учетной записи после его добавления в параметр политики безопасности. Обычно это происходит в разделе "Права пользователя" или в разделе "Ограниченные группы " параметра политики безопасности. Это также может произойти, если учетная запись существует в доверии, а затем отношения доверия нарушены.
Для устранения этой проблемы выполните следующие действия.
Определите учетную запись, которая вызывает сбой. Для этого включите ведение журнала отладки для расширения конфигурации безопасности на стороне клиента:
Откройте редактор реестра.
Найдите и выделите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}В меню "Изменить" выберите "Добавить значение", а затем добавьте следующее значение реестра:
- Имя значения: ExtensionDebugLevel
- Тип данных: DWORD
- Значение параметра: 2
Закройте редактор реестра.
Обновите параметры политики, чтобы воспроизвести сбой. Чтобы обновить параметры политики, введите следующую команду в командной строке и нажмите клавишу ВВОД:
gpupdate /target:computer /forceЭта команда создает файл с именем Winlogon.log в папке
%SYSTEMROOT%\Security\Logs.Найдите учетную запись проблемы. Для этого введите следующую команду в командной строке и нажмите клавишу ВВОД:
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.logВыходные данные Find идентифицируют имена учетных записей проблем, например , не удается найти MichaelPeltier. В этом примере учетная запись пользователя MichaelPeltier не существует в домене. Или он имеет другое правописание, например МишельPeltier.
Определите, почему эта учетная запись не может быть разрешена. Например, найдите типографические ошибки, удаленную учетную запись, неправильную политику, которая применяется к этому компьютеру или проблема доверия.
Если вы определите, что учетная запись должна быть удалена из политики, найдите политику проблемы и параметр проблемы. Чтобы определить, какой параметр содержит неразрешенную учетную запись, введите следующую команду в командной строке на компьютере, создав событие SCECLI 1202, а затем нажмите клавишу ВВОД:
c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*В этом примере синтаксис и результаты:
c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelPeltier,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMОн определяет GPT00002.inf как кэшированный шаблон безопасности из объекта групповой политики(GPO), содержащего параметр проблемы. Он также определяет параметр проблемы как SeInteractiveLogonRight. Отображаемое имя Для SeInteractiveLogonRight — вход локально.
Сопоставление констант (например, SeInteractiveLogonRight) с отображаемыми именами (например, вход в систему локально) см. в разделе "Назначение прав пользователя".
Определите, какой объект групповой политики содержит параметр проблемы. Выполните поиск в кэшированном шаблоне безопасности, который вы определили на шаге 4 для текста
GPOPath=. В этом примере вы увидите следующее:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04F984F9} — это GUID объекта групповой политики.
Чтобы найти понятное имя объекта групповой политики, используйте командлет Get-GPO PowerShell -Guid на контроллере домена или сервере с установленными средствами удаленного администратора сервера Active Directory (AD).
Понятное имя объекта групповой политики отображается рядом с полем
DisplayName:Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9 DisplayName : Default Domain Controllers Policy DomainName : contoso.com Owner : CONTOSO\Domain Admins
Теперь вы определили учетную запись проблемы, параметр проблемы и объект групповой политики. Чтобы устранить проблему, удалите или замените запись проблемы.
Код ошибки 0x2: система не может найти указанный файл
Эта ошибка аналогична 0x534 и 0x6fc. Это вызвано неизменяемым именем учетной записи. При возникновении ошибки 0x2 обычно указывает, что имя учетной записи безвозвратной учетной записи указывается в параметре политики "Ограниченные группы".
Для устранения этой проблемы выполните следующие действия.
Определите, какая служба или какой объект имеет сбой. Для этого включите ведение журнала отладки для расширения конфигурации безопасности на стороне клиента:
Откройте редактор реестра.
Найдите и выделите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}В меню "Изменить" выберите "Добавить значение", а затем добавьте следующее значение реестра:
- Имя значения: ExtensionDebugLevel
- Тип данных: DWORD
- Значение параметра: 2
Закройте редактор реестра.
Обновите параметры политики, чтобы воспроизвести сбой. Чтобы обновить параметры политики, введите следующую команду в командной строке и нажмите клавишу ВВОД:
gpupdate /target:computer /forceЭта команда создает файл с именем Winlogon.log в папке
%SYSTEMROOT%\Security\Logs.В командной строке введите следующую команду и нажмите клавишу ВВОД:
find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.logВыходные данные Find идентифицируют имена учетных записей проблем, например , не удается найти MichaelPeltier. В этом примере учетная запись пользователя MichaelPeltier не существует в домене. Или он имеет другое правописание, например МишельPeltier.
Определите, почему эта учетная запись не может быть разрешена. Например, найдите типографические ошибки, удаленную учетную запись, неправильную политику, применяемую к этому компьютеру, или проблему доверия.
Если вы определите, что учетная запись должна быть удалена из политики, найдите политику проблемы и параметр проблемы. Чтобы найти, какой параметр содержит неразрешенную учетную запись, введите следующую команду в командной строке на компьютере, создающего событие SCECLI 1202, а затем нажмите клавишу ВВОД:
c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*В этом примере синтаксис и результаты:
c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548 ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMОн определяет GPT00002.inf как кэшированный шаблон безопасности из объекта групповой политики проблемы, содержащего параметр проблемы. Он также определяет параметр проблемы как SeInteractiveLogonRight. Отображаемое имя Для SeInteractiveLogonRight — вход локально.
Сопоставление констант (например, SeInteractiveLogonRight) с отображаемыми именами (например, вход в систему локально) см. в разделе "Назначение прав пользователя".
Определите, какой объект групповой политики содержит параметр проблемы. Выполните поиск в кэшированном шаблоне безопасности, который вы определили на шаге 4 для текста
GPOPath=. В этом примере вы увидите следующее:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04F984F9} — это GUID объекта групповой политики.
Чтобы найти понятное имя объекта групповой политики, используйте командлет Get-GPO PowerShell -Guid на контроллере домена или сервере с установленными средствами AD RSAT.
Понятное имя объекта групповой политики отображается рядом с полем
DisplayName:Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9 DisplayName : Default Domain Controllers Policy DomainName : contoso.com Owner : CONTOSO\Domain Admins
Теперь вы определили учетную запись проблемы, параметр проблемы и объект групповой политики проблемы. Чтобы устранить проблему, выполните поиск в разделе "Ограниченные группы" политики безопасности для экземпляров учетной записи проблемы (в этом примере МайклPeltier), а затем удалите или замените запись проблемы.
Код ошибки 0x5: доступ запрещен
Эта ошибка обычно возникает, когда системе не предоставлены правильные разрешения на обновление списка управления доступом службы. Это может произойти, если администратор определяет разрешения для службы в политике, но не предоставляет разрешения полного управления учетной записью системы.
Для устранения этой проблемы выполните следующие действия.
Определите, какая служба или какой объект имеет сбой. Для этого включите ведение журнала отладки для расширения конфигурации безопасности на стороне клиента:
Откройте редактор реестра.
Найдите и выделите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}В меню "Изменить" выберите "Добавить значение", а затем добавьте следующее значение реестра:
- Имя значения: ExtensionDebugLevel
- Тип данных: DWORD
- Значение параметра: 2
Закройте редактор реестра.
Обновите параметры политики, чтобы воспроизвести сбой. Чтобы обновить параметры политики, введите следующую команду в командной строке и нажмите клавишу ВВОД:
gpupdate /target:computer /forceЭта команда создает файл с именем Winlogon.log в папке
%SYSTEMROOT%\Security\Logs.В командной строке введите следующее, а затем нажмите клавишу ВВОД:
find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.logВыходные данные Find идентифицируют службу с неправильно настроенными разрешениями, например ошибка при открытии Dnscache. Dnscache — это короткое имя службы DNS-клиента.
Узнайте, какая политика или какие политики пытаются изменить разрешения службы. Для этого введите следующую команду в командной строке и нажмите клавишу ВВОД:
find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*Ниже приведен пример команды и его выходные данные:
d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.* ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)" ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOMОпределите, какой объект групповой политики содержит параметр проблемы. Выполните поиск в кэшированном шаблоне безопасности, который вы определили на шаге 4 для текста
GPOPath=. В этом примере вы увидите следующее:GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE{6AC1786C-016F-11D2-945F-00C04F984F9} — это GUID объекта групповой политики.
Чтобы найти понятное имя объекта групповой политики, используйте командлет Get-GPO PowerShell -Guid на контроллере домена или сервере с установленными средствами AD RSAT.
Понятное имя объекта групповой политики отображается рядом с полем
DisplayName:Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9 DisplayName : Default Domain Controllers Policy DomainName : contoso.com Owner : CONTOSO\Domain Admins
Теперь вы определили службу с неправильно настроенными разрешениями и проблемой групповой политики. Чтобы устранить проблему, выполните поиск в разделе "Системные службы" политики безопасности для экземпляров службы с неправильно настроенными разрешениями. Затем выполните исправление действий, чтобы предоставить службе разрешения полного управления системной учетной записью.
Код ошибки 0x4b8: произошла расширенная ошибка
Ошибка 0x4b8 является универсальной и может быть вызвана множеством различных проблем. Чтобы устранить эти ошибки, выполните следующие действия.
Включите ведение журнала отладки для расширения конфигурации безопасности на стороне клиента:
Откройте редактор реестра.
Найдите и выделите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}В меню "Изменить" выберите "Добавить значение", а затем добавьте следующее значение реестра:
- Имя значения: ExtensionDebugLevel
- Тип данных: DWORD
- Значение параметра: 2
Закройте редактор реестра.
Обновите параметры политики, чтобы воспроизвести сбой. Чтобы обновить параметры политики, введите следующую команду в командной строке и нажмите клавишу ВВОД:
gpupdate /target:computer /forceЭта команда создает файл с именем Winlogon.log в папке
%SYSTEMROOT%\Security\Logs.В журнале приложений неоднократно регистрируются идентификаторы событий ESENT 1000, 1202, 412 и 454. В этой статье описываются известные проблемы, которые вызывают ошибку 0x4b8.
Сбор данных
Если вам нужна помощь от поддержки Майкрософт, рекомендуется собирать сведения, выполнив действия, описанные в статье "Сбор сведений" с помощью TSS для проблем групповой политики.