计算机丢失scecli,SCECLI 1202 事件疑难解答

SCECLI 1202 事件疑难解答

09/08/2020

本文内容

本文介绍排查和解决 SCECLI 1202 事件的方法。

适用于：  Windows Server 2012R2

原始 KB 编号：   324383

摘要

这些事件疑难解答的第一步是标识 Win32 错误代码。 此错误代码可区分导致 SCECLI 1202 事件的失败类型。 以下是 SCECLI 1202 事件的示例。 错误代码显示在" 说明"字段中 。 本示例中，错误代码为 0x534。 错误代码后的文本是错误描述。 确定错误代码后，找到本文中的错误代码部分，然后按照该部分中的疑难解答步骤操作。

0x534：未在帐户名和安全 ID 之间映射。

或者

0x6fc：主域和受信任域之间的信任关系失败。

错误代码0x534：未在帐户名和安全 ID 之间完成映射

这些错误代码意味着无法将安全帐户解析为 SID (安全) 。 该错误通常是因为帐户名类型错误，或者帐户在添加到安全策略设置后被删除。 它通常发生在安全策略设置的"用户权限"部分或"受限制的组"部分。 如果帐户存在于一个信任中，然后信任关系断开，则也可能发生这种情况。

要解决此问题，请执行下列步骤：

确定导致失败的帐户。 为此，请为安全配置客户端扩展启用调试日志记录：

启动注册表编辑器。

找到并选择以下注册表子项：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

在" 编辑" 菜单上，选择" 添加值"，然后添加以下注册表值：

值名称：ExtensionDebugLevel

数据类型：DWORD

值数据：2

退出注册表编辑器。

刷新策略设置以重现失败。 若要刷新策略设置，请在命令提示符下键入以下命令，然后按 Enter：

secedit /refreshpolicy machine_policy /enforce

此命令在文件夹中创建一个名为 Winlogon.log %SYSTEMROOT%\Security\Logs 的文件。

查找问题帐户。 为此，请在命令提示符下键入以下命令，然后按 Enter：

find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log

Find 输出标识问题的帐户名称，例如，找不到 MichaelPeltier。 本示例中，域中不存在用户帐户 MichaelPeltier。 或者它具有不同的拼写，例如 MichellePeltier。

确定无法解析此帐户的原因。 例如，查找拼写错误、已删除的帐户、适用于此计算机的错误策略或信任问题。

如果确定必须从策略中删除帐户，请查找问题策略和问题设置。 若要确定哪个设置包含未解析的帐户，请在生成 SCECLI 1202 事件的计算机上的命令提示符下键入以下命令，然后按 Enter：

c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*

对于此示例，语法和结果为：

c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF

SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelPeltier,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM

它将 GPT000002.inf 标识为问题组策略对象 (GPO) 包含问题设置的缓存安全模板。 它还将问题设置标识为 SeInteractiveLogonRight。 SeInteractiveLogonRight 显示名称本地 登录。

有关常量 (例如，SeInteractiveLogonRight) 映射到其显示名称 (例如，本地) 登录，请参阅 Microsoft Windows 2000 Server Resource Kit， Distributed Systems Guide。 地图位于附录 的"用户 权限"部分。

确定哪个 GPO 包含问题设置。 在步骤 4 中标识的缓存安全模板中搜索文本 GPOPath= 。 此示例将看到：

GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

{6AC1786C-016F-11D2-945F-00C04FB984F9} 是 GPO 的 GUID。

若要查找 GPO 的友好名称，请使用资源工具包实用程序Gpotool.exe。 在命令提示符下键入以下命令，然后按 Enter：

gpotool /verbose

搜索在步骤 5 中标识的 GUID 的输出。 GUID 后跟的四行包含策略的友好名称。 例如：

Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}

Policy OK

Details:

------------------------------------------------------------

DC: domcntlr1.wingtiptoys.com

Friendly name: Default Domain Controllers Policy

现在你已识别问题帐户、问题设置和问题 GPO。 若要解决此问题，请删除或替换问题条目。

错误0x2：系统找不到指定的文件

此错误类似于 0x534 和 0x6fc。 它由不可修复的帐户名称导致。 发生0x2错误时，通常指示在"受限组"策略设置中指定了不可解决的帐户名称。

要解决此问题，请执行下列步骤：

确定哪个服务或哪个对象出现故障。 为此，请为安全配置客户端扩展启用调试日志记录：

启动注册表编辑器。

找到并选择以下注册表子项：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

在" 编辑" 菜单上，选择" 添加值"，然后添加以下注册表值：

值名称：ExtensionDebugLevel

数据类型：DWORD

值数据：2

退出注册表编辑器。

刷新策略设置以重现失败。 若要刷新策略设置，请在命令提示符下键入以下命令，然后按 Enter：

secedit /refreshpolicy machine_policy /enforce

此命令在文件夹中创建名为 Winlogon.log %SYSTEMROOT%\Security\Logs 的文件。

在命令提示符下，键入以下命令，然后按 Enter：

find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log

Find 输出标识问题的帐户名称，例如，找不到 MichaelPeltier。 本示例中，域中不存在用户帐户 MichaelPeltier。 或者拼写不同，例如 MichellePeltier。

确定无法解析此帐户的原因。 例如，查找拼写错误、已删除的帐户、应用到此计算机的错误策略或信任问题。

如果确定必须从策略中删除帐户，请查找问题策略和问题设置。 若要查找包含未解析帐户的设置，请在生成 SCECLI 1202 事件的计算机上的命令提示符下键入以下命令，然后按 Enter：

c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*

对于此示例，语法和结果为：

c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF

SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM

它将 GPT00002.inf 标识为问题 GPO(包含问题设置)中的缓存安全模板。 它还将问题设置标识为 SeInteractiveLogonRight。 SeInteractiveLogonRight 显示名称本地 登录。

有关常量 (例如，SeInteractiveLogonRight) 映射到其显示名称 (例如，在本地) 登录，请参阅 Windows 2000 Server Resource Kit， Distributed Systems Guide。 地图位于附录 的"用户 权限"部分。

确定哪个 GPO 包含问题设置。 在步骤 4 中标识的缓存安全模板中搜索文本 GPOPath= 。 此示例将看到：

GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

{6AC1786C-016F-11D2-945F-00C04FB984F9} 是 GPO 的 GUID。

若要查找 GPO 的友好名称，请使用资源工具包实用程序Gpotool.exe。 在命令提示符下键入以下命令，然后按 Enter：

gpotool /verbose

搜索步骤 5 中标识的 GUID 的输出。 GUID 后跟的四行包含策略的友好名称。 例如：

Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}

Policy OK

Details:

------------------------------------------------------------

DC: domcntlr1.wingtiptoys.com

Friendly name: Default Domain Controllers Policy

现在，你已识别问题帐户、问题设置和问题 GPO。 若要解决此问题，请搜索安全策略的"受限组"部分，查找问题帐户 ((此示例中为 MichaelPeltier) )的实例，然后删除或替换问题条目。

错误代码0x5：访问被拒绝

此错误通常在系统尚未被授予更新服务的访问控制列表的正确权限时发生。 如果管理员为策略中的服务定义权限，但不向系统帐户授予完全控制权限，则可能会发生此错误。

要解决此问题，请执行下列步骤：

确定哪个服务或哪个对象出现故障。 为此，请为安全配置客户端扩展启用调试日志记录：

启动注册表编辑器。

找到并选择以下注册表子项：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

在" 编辑" 菜单上，选择" 添加值"，然后添加以下注册表值：

值名称：ExtensionDebugLevel

数据类型：DWORD

值数据：2

退出注册表编辑器。

刷新策略设置以重现失败。 若要刷新策略设置，请在命令提示符下键入以下命令，然后按 Enter：

secedit /refreshpolicy machine_policy /enforce

此命令在文件夹中创建一个名为 Winlogon.log %SYSTEMROOT%\Security\Logs 的文件。

在命令提示符下，键入以下内容，然后按 Enter：

find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.log

Find 输出标识具有错误配置权限的服务，例如， 打开 Dnscache 时出错。 Dnscache 是 DNS 客户端服务的短名称。

了解哪些策略或哪些策略正在尝试修改服务权限。 为此，请在命令提示符下键入以下命令，然后按 Enter：

find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*".

下面是示例命令及其输出：

d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.*

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF

Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)"

---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM

确定哪个 GPO 包含问题设置。 在步骤 4 中标识的缓存安全模板中搜索文本 GPOPath= 。 此示例将看到：

GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

{6AC1786C-016F-11D2-945F-00C04FB984F9} 是 GPO 的 GUID。

若要查找 GPO 的友好名称，请使用资源工具包实用程序Gpotool.exe。 在命令提示符下键入以下命令，然后按 Enter：

gpotool /verbose

搜索在步骤 5 中标识的 GUID 的输出。 GUID 后跟的四行包含策略的友好名称。 例如：

Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}

Policy OK

Details:

------------------------------------------------------------

DC: domcntlr1.wingtiptoys.com

Friendly name: Default Domain Controllers Policy

现在，你已使用错误配置的权限和问题 GPO 标识了服务。 若要解决此问题，请搜索安全策略的"系统服务"部分，查找具有错误配置权限的服务实例。 然后采取更正操作，向系统帐户授予对服务的完全控制权限。

错误代码0x4b8：发生了扩展错误

此错误0x4b8一般错误，可能由许多不同的问题导致。 若要解决这些错误，请按照以下步骤操作：

为安全配置客户端扩展启用调试日志记录：

启动注册表编辑器。

找到并选择以下注册表子项：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}

在" 编辑" 菜单上，选择" 添加值"，然后添加以下注册表值：

值名称：ExtensionDebugLevel

数据类型：DWORD

值数据：2

退出注册表编辑器。

刷新策略设置以重现失败。 若要刷新策略设置，请在命令提示符下键入以下命令，然后按 Enter：

secedit /refreshpolicy machine_policy /enforce

此命令在文件夹中创建一个名为 Winlogon.log %SYSTEMROOT%\Security\Logs 的文件。