通过

修改安全策略后,状态0x534登录 Windows Server 2008 R2 域控制器的事件 1202

本文提供了修改安全策略后登录到域控制器的事件的解决方案。

原始 KB 数: 2000705

现象

Windows Server 2008 R2 域控制器上的应用程序日志包含事件 ID 1202,状态代码为“0x534:每次应用安全策略时,帐户名和安全 ID 之间没有映射”。 事件 ID 1202 的相关部分如下所示:

日志名称: 应用程序
来源:SceCli
日期:MM/DD/YYYY HH:MM:SS AM |下午
事件 ID:1202
任务类别:无
级别: 警告
关键字:经典
用户:无
计算机: <计算机名称>
说明:
安全策略通过警告传播。 0x534:未在帐户名称和安全 ID 之间映射。

此问题的高级帮助可用 https://support.microsoft.com。 查询“排查 1202 事件问题”。

无法解析为 SID 的一个或多个组策略对象(GPO)中的用户帐户时,会发生错误0x534。 此错误可能是由 GPO 的用户权限或受限组分支中引用的错误类型化或删除用户帐户引起的。 若要解决此事件,请与域中的管理员联系以执行以下操作:

WINLOGON。LOG 包含以下文本:

...
配置 S-1-1-0。
配置 S-1-5-11。
配置 S-1-5-32-554。
配置 S-1-5-32-548。
配置 S-1-5-32-550。
配置 S-1-5-9。
配置 WdiServiceHost。
错误 1332:未在帐户名称和安全 ID 之间映射。
找不到 WdiServiceHost。
配置 S-1-5-21-2125830507-553053660-2246957542-519。
添加 SeTimeZonePrivilege。
用户权限配置已完成,并出现一个或多个错误。 ...

默认情况下,GPTMPL。默认域控制器策略中的 INF 策略如下所示:

SeSystemProfilePrivilege = *S-1-5-80-3139157870-2983391045-3678747466-658725712-1809340420,*S-1-5-32-544

在默认域控制器策略中修改不相关的安全设置后, SeSystemProfilePrivilege 默认域控制器策略中的条目如下所示:

SeSystemProfilePrivilege = *S-1-5-32-544,WdiServiceHost

有关详细信息,请参阅 每次在运行 Windows Server 2008 R2 或 Windows 7 的计算机上刷新计算机组策略设置时记录 SceCli 1202 事件。

原因

使用组策略管理控制台(GPMC)从 Windows Server 2008 R2 域控制器的控制台修改默认域控制器策略中的任何安全设置时,GPMC 错误地将策略中 Wdiservice 帐户的 SID 转换为强制实施策略的本地计算机无法识别的用户名。 当 Windows 7 或 Windows Server 2008 R2 成员计算机修改 Windows Server 2008 R2 域控制器上默认域控制器策略中的任何安全设置时,也会出现此问题。

解决方法

作为临时解决方法,手动编辑 GPTMPL。INF 文件通过在默认域控制器策略中配置文件系统性能用户的 wdiservicehost 帐户名称前面添加 NT Service\ 前缀。 每次使用 GPMC 管理默认域控制器策略中的任何安全设置时,都必须执行此操作。

此步骤将阻止记录 1202 事件,直到安全策略下次由相关操作系统版本修改默认域控制器策略时。

  1. 打开 GPTTMPL。记录事件 ID 1202 的域控制器的默认域控制器策略的 INF 文件。 GPTTMPL 的路径。当 SYSVOL 位于 %SystemRoot% 以下时,INF 文件为:
    %SystemRoot%\Sysvol\domain\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GPTTMPL.INF

  2. 在 GPTTMPL 中找到该 SeSystemProfilePrivilege 条目。INF 并按如下所示对其进行修改:

    Before: SeSystemProfilePrivilege = *S-1-5-32-544,WdiServiceHost

    After: SeSystemProfilePrivilege = *S-1-5-32-544,nt service\WdiServiceHost

    注意

    NT Service\ 应出现在 “,”分隔符后面。 不要将 NT Service\ 前缀为“*”字符。

  3. 将更改保存到 GPTTMPL.INF。

  4. 从其 GPTTMPL 的域控制器的主机上的命令提示符处。在步骤 1 中修改了 INF 文件,键入 Gpupdate /force。

  5. 查看应用程序日志,查看是否记录了状态代码为 1202 的事件 ID 1202 0x534。 如果是,请查看 WINLOGON。LOG 以查看事件是否是由 WdiServiceHost 安全主体引起的。

详细信息

在 Windows Server 2008 R2 域控制器上的默认域控制器策略中,向诊断服务主机(wdiservicehost)帐户的 SID 授予 SeSystemProfilePrivilege 它添加到计算机的本地 SAM 的位置,由 SCE 选取,然后添加到 GPTTMPL.INF。

当 Windows Server 2008 域控制器上的默认域控制器策略中修改任何安全设置时,代码缺陷会导致 Wdiservicehost 帐户的 SID 替换为其 SAM 帐户,但无法添加 SCECLI 所需的 NT Service\ 前缀来解析帐户的名称。 (即 NT Service\Wdiservicehost)。

  1. 当 Windows 7 或 Windows Server 2008 R2 计算机上的组策略管理编辑器用于修改 Windows Server 2008 域控制器上默认域控制器策略中的安全设置时,会出现此策略中所述的问题。

  2. 当安全策略在默认域控制器策略以外的策略中修改时,不会发生此问题。

  3. 尽管记录状态代码为 1202 的事件 ID 1202 0x534,但此问题不会阻止 Windows 计算机应用默认域控制器策略中包含的安全策略。 但是,无法将此问题导致的误报事件与阻止安全策略应用(由同一事件 ID 1202 和0x534状态代码标识)的合法配置区分开来。

数据收集

如果需要Microsoft支持方面的帮助,建议按照使用 TSS 收集信息中的 步骤收集组策略问题来收集信息。