共用方式為

針對 SCECLI 1202 事件進行疑難解答

本文說明如何針對 SCECLI 1202 事件進行疑難解答和解決。

適用於:Windows Server 和 Windows 用戶端的支援版本
原始 KB 編號: 324383

摘要

針對這些事件進行疑難解答的第一個步驟是識別 Win32 錯誤碼。 此錯誤碼會區分導致 SCECLI 1202 事件失敗的類型。 以下是 SCECLI 1202 事件的範例。 錯誤碼會顯示在 [描述 ] 欄位中。 在此範例中,錯誤碼0x534。 錯誤碼後面的文字是錯誤描述。 判斷錯誤碼之後,請找出本文中的錯誤碼區段,然後遵循該區段中的疑難解答步驟。

0x534:未完成帳戶名稱和安全性標識符之間的對應。

0x6fc:主要網域與信任網域之間的信任關係失敗。

錯誤碼0x534:未完成帳戶名稱和安全性標識符之間的對應

這些錯誤碼表示無法將安全性帳戶解析為安全性識別碼 (SID)。 錯誤通常是因為帳戶名稱的類型錯誤,或因為帳戶在新增至安全策略設定之後遭到刪除而發生。 通常發生在安全策略設定的 [ 用戶權力 ] 區段或 [限制的群組 ] 區段中。 如果帳戶存在於信任之間,然後信任關係中斷,也可能會發生此情況。

若要疑難排解此問題,請執行下列步驟:

  1. 判斷造成失敗的帳戶。 若要這樣做,請啟用安全性設定用戶端延伸模組的偵錯記錄:

    1. 啟動 [登錄編輯程式]。

    2. 找出並選取下列登錄子機碼:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

    3. 在 [編輯] 功能表上,選取 [新增值],然後新增下列登錄值:

      • 值名稱:ExtensionDebugLevel
      • 資料類型:DWORD
      • 值資料:2

    4. 結束登錄編輯程式。

  2. 重新整理原則設定以重現失敗。 若要重新整理原則設定,請在命令提示字元輸入下列命令,然後按 ENTER:

    gpupdate /target:computer /force

    此命令會在資料夾中建立名為 Winlogon.log%SYSTEMROOT%\Security\Logs 檔案。

  3. 尋找問題帳戶。 若要這樣做,請在命令提示字元中輸入下列命令,然後按 ENTER:

    find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log

    [尋找] 輸出會識別問題帳戶名稱,例如 找不到 MichaelPeltier。 在此範例中,用戶帳戶 MichaelPeltier 不存在於網域中。 或者它有不同的拼寫,如蜜雪兒佩爾蒂耶。

    判斷無法解析此帳戶的原因。 例如,尋找印刷錯誤、已刪除的帳戶、套用至這部計算機的錯誤原則,或信任問題。

  4. 如果您判斷帳戶必須從原則中移除,請找出問題原則和問題設定。 若要判斷哪個設定包含未解析的帳戶,請在產生 SCECLI 1202 事件之電腦上的命令提示字元輸入下列命令,然後按 ENTER:

    c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*

    在此範例中,語法和結果如下:

    c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*
---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelPeltier,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM

    它會從包含問題設定的問題組策略物件 (GPO) 識別GPT00002.inf 作為快取的安全性範本。 它也會將問題設定識別為 SeInteractiveLogonRight。 SeInteractiveLogonRight 的顯示名稱是 本機登入

    如需常數 (例如 SeInteractiveLogonRight) 與其顯示名稱的對應(例如,在本機登入),請參閱 用戶權力指派

  5. 判斷哪個 GPO 包含問題設定。 搜尋您在步驟 4 中識別的快取安全性範本,以取得文字 GPOPath=。 在此範例中,您會看到:

    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

    {6AC1786C-016F-11D2-945F-00C04FB984F9} 是 GPO 的 GUID。

  6. 若要尋找 GPO 的易記名稱,請在域控制器 (DC) 上使用 PowerShell Cmdlet Get-GPO -Guid ,或已安裝 Active Directory (AD) 遠端伺服器系統管理員工具 (RSAT) 工具的伺服器。

    GPO 的易記名稱會顯示在 DisplayName 欄位旁:

    Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9
DisplayName : Default Domain Controllers Policy
DomainName : contoso.com
Owner : CONTOSO\Domain Admins

現在您已識別出問題帳戶、問題設定,以及問題 GPO。 若要解決問題,請移除或取代問題專案。

錯誤碼0x2:系統找不到指定的檔案

此錯誤類似於 0x534和 0x6fc。 這是由無法替代的帳戶名稱所造成。 發生0x2錯誤時,通常表示在 [限制的群組] 原則設定中指定了無法復原的帳戶名稱。

若要疑難排解此問題,請執行下列步驟:

  1. 判斷哪個服務或哪個對象發生失敗。 若要這樣做,請啟用安全性設定用戶端延伸模組的偵錯記錄:

    1. 啟動 [登錄編輯程式]。

    2. 找出並選取下列登錄子機碼:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

    3. 在 [編輯] 功能表上,選取 [新增值],然後新增下列登錄值:

      • 值名稱:ExtensionDebugLevel
      • 資料類型:DWORD
      • 值資料:2

    4. 結束登錄編輯程式。

  2. 重新整理原則設定以重現失敗。 若要重新整理原則設定,請在命令提示字元輸入下列命令,然後按 ENTER:

    gpupdate /target:computer /force

    此命令會在資料夾中建立名為 Winlogon.log%SYSTEMROOT%\Security\Logs 檔案。

  3. 在命令提示字元中輸入下列命令,然後按 ENTER:

    find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log

    [尋找] 輸出會識別問題帳戶名稱,例如 找不到 MichaelPeltier。 在此範例中,用戶帳戶 MichaelPeltier 不存在於網域中。 或者它有不同的拼字,例如蜜雪兒·佩爾蒂耶。

    判斷無法解析此帳戶的原因。 例如,尋找印刷錯誤、已刪除的帳戶、套用至這部計算機的錯誤原則,或信任問題。

  4. 如果您判斷帳戶必須從原則中移除,請找出問題原則和問題設定。 若要尋找包含未解析帳戶的設定,請在產生 SCECLI 1202 事件的電腦上,於命令提示字元輸入下列命令,然後按 ENTER:

    c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*

    在此範例中,語法和結果如下:

    c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*
---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM

    它會從包含問題設定的問題 GPO 中,將 GPT00002.inf 識別為快取的安全性範本。 它也會將問題設定識別為 SeInteractiveLogonRight。 SeInteractiveLogonRight 的顯示名稱是 本機登入

    如需常數 (例如 SeInteractiveLogonRight) 與其顯示名稱的對應(例如,在本機登入),請參閱 用戶權力指派

  5. 判斷哪個 GPO 包含問題設定。 搜尋您在步驟 4 中識別的快取安全性範本,以取得文字 GPOPath=。 在此範例中,您會看到:

    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

    {6AC1786C-016F-11D2-945F-00C04FB984F9} 是 GPO 的 GUID。

  6. 若要尋找 GPO 的易記名稱,請使用已安裝 AD RSAT 工具的 DC 或伺服器上 PowerShell Cmdlet Get-GPO -Guid

    GPO 的易記名稱會顯示在 DisplayName 欄位旁:

    Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9
DisplayName : Default Domain Controllers Policy
DomainName : contoso.com
Owner : CONTOSO\Domain Admins

您現在已識別出問題帳戶、問題設定,以及問題 GPO。 若要解決此問題,請在安全策略的安全策略區段中搜尋問題帳戶實例的 [限制群組] 區段(在此範例中為 MichaelPeltier),然後移除或取代問題專案。

錯誤碼0x5:拒絕存取

當系統尚未獲得更新服務訪問控制清單的正確許可權時,通常會發生此錯誤。 如果系統管理員在原則中定義服務的許可權,但不授與系統帳戶「完全控制」許可權,就可能發生此情況。

若要疑難排解此問題,請執行下列步驟:

  1. 判斷哪個服務或哪個對象發生失敗。 若要這樣做,請啟用安全性設定用戶端延伸模組的偵錯記錄:

    1. 啟動 [登錄編輯程式]。

    2. 找出並選取下列登錄子機碼:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

    3. 在 [編輯] 功能表上,選取 [新增值],然後新增下列登錄值:

      • 值名稱:ExtensionDebugLevel
      • 資料類型:DWORD
      • 值資料:2

    4. 結束登錄編輯程式。

  2. 重新整理原則設定以重現失敗。 若要重新整理原則設定,請在命令提示字元輸入下列命令,然後按 ENTER:

    gpupdate /target:computer /force

    此命令會在資料夾中建立名為 Winlogon.log%SYSTEMROOT%\Security\Logs 檔案。

  3. 在命令提示字元中,輸入下列命令,然後按 ENTER:

    find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.log

    Find 輸出會使用設定錯誤的許可權來識別服務,例如 開啟 Dnscache 時發生錯誤。 Dnscache 是 DNS 用戶端服務的簡短名稱。

  4. 找出哪些原則或嘗試修改服務許可權的原則。 若要這樣做,請在命令提示字元中輸入下列命令,然後按 ENTER:

    find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*

    以下是範例命令及其輸出:

    d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.*

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)"

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM

  5. 判斷哪個 GPO 包含問題設定。 搜尋您在步驟 4 中識別的快取安全性範本,以取得文字 GPOPath=。 在此範例中,您會看到:

    GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

    {6AC1786C-016F-11D2-945F-00C04FB984F9} 是 GPO 的 GUID。

  6. 若要尋找 GPO 的易記名稱,請使用已安裝 AD RSAT 工具的 DC 或伺服器上 PowerShell Cmdlet Get-GPO -Guid

    GPO 的易記名稱會顯示在 DisplayName 欄位旁:

     Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9
 DisplayName : Default Domain Controllers Policy
 DomainName : contoso.com
 Owner : CONTOSO\Domain Admins

現在您已使用設定錯誤的許可權和問題 GPO 來識別服務。 若要解決此問題,請在安全策略的 [系統服務] 區段中,搜尋設定錯誤許可權的服務實例。 然後採取更正動作,將系統帳戶完全控制許可權授與服務。

錯誤碼0x4b8:發生擴充錯誤

0x4b8錯誤是泛型的,可能是由許多不同的問題所造成。 若要針對這些錯誤進行疑難解答,請遵循下列步驟:

  1. 開啟安全性設定用戶端延伸模組的偵錯記錄:

    1. 啟動 [登錄編輯程式]。

    2. 找出並選取下列登錄子機碼:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

    3. 在 [編輯] 功能表上,選取 [新增值],然後新增下列登錄值:

      • 值名稱:ExtensionDebugLevel
      • 資料類型:DWORD
      • 值資料:2

    4. 結束登錄編輯程式。

  2. 重新整理原則設定以重現失敗。 若要重新整理原則設定,請在命令提示字元輸入下列命令,然後按 ENTER:

    gpupdate /target:computer /force

    此命令會在資料夾中建立名為 Winlogon.log 的 %SYSTEMROOT%\Security\Logs 檔案。

  3. 請參閱 應用程式記錄檔中重複記錄 1000、1202、412 和 454 的事件識別碼。 本文說明造成0x4b8錯誤的已知問題。

資料收集

如果您需要Microsoft支援的協助,建議您遵循使用 TSS 收集組策略問題中的資訊中所述的步驟來收集資訊。