none
SceCli 0x534 mit lokalen Konten in einer GPO für lokalen Dienst gestatten RRS feed

  • Frage

  • Guten Tag zusammen,

    ich habe hier auf einigen Servern, welche eine spezielle GPO erhalten, Warnmeldungen 1202 SceCli gesehen. Fehlercode 0x534 "No mapping between account names and security IDs was done.". In der betreffenden GPO werden Accounts der Liste mit Konten hinzugefügt, die sich als Dienst anmelden dürfen.

    Das Winlogon.log habe ich bereits überprüft und gesehen, dass die betreffenden Konten alles lokale Benutzerkonten auf einem anderen Server sind. In dem Format: 'IRGENDEIN-DOMÄNE-COMPUTER\Kontoname_1'. 6 Stück gibt es davon. Dieser Computer existiert auch und die Konten ebenfalls.

    Ich bin nun etwas unsicher. Kommt die Meldung daher, dass es lokale Konten auf einem anderen Computer sind?

    Dienstag, 26. April 2016 12:50

Antworten

Alle Antworten

  • Kommt die Meldung daher, dass es lokale Konten auf einem anderen Computer sind?

    Ja. Auf dem Server, von dem die Accounts stammen, kommen die Fehler bestimmt nicht (sofern die GPO dort auch wirkt), oder?

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de

    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de

    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    Dienstag, 26. April 2016 13:00
  • Hi,
     
    Am 26.04.2016 um 14:50 schrieb Markus Schuhmacher:
    > Ich bin nun etwas unsicher. Kommt die Meldung daher, dass es lokale
    > Konten auf einem anderen Computer sind?
     
    Ja. Die GPO meldet den Fehler, weil das SYSTEM, daß die Richtlinien
    übernimmt das Objekt nicht auf dem Ziel auflösen kann. Das Lokale Konto
    wird auf einem anderen System verwaltet.
    Mit einem Domänen Konto würde das nicht passieren
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Dienstag, 26. April 2016 13:45
  • > Ich bin nun etwas unsicher. Kommt die Meldung daher, dass es lokale
    > Konten auf einem anderen Computer sind?
     
    Und zu guter Letzt noch die Lösung dazu: Wähle die KOnten beim
    Bearbeiten nicht über den Object Picker aus, sondern trage sie manuell
    in das Textfeld ein. Dann wird die SID nicht aufgelöst, und in der GPO
    steht dann der Name. Und das klappt dann auch auf anderen Rechnern :)
     
    Dienstag, 26. April 2016 15:01
    Beantworter
  • In der GPO steht auf jeden Fall der Name drin. Allerdings hat jemand den Firewalldienst auf dem Server deaktiviert, sodass ich das vorher testen möchte. Das muss ich aber erst abklären.
    Dienstag, 26. April 2016 16:08
  • > In der GPO steht auf jeden Fall der Name drin. Allerdings hat jemand den
     
    In der GPO ja. Aber nicht in dem dahinter zugrunde liegenden GptTmpl.inf
    - da steht nur die SID drin. Sieht dann (auszugsweise) z.B. so aus:
     
    [Privilege Rights]
    SeLoadDriverPrivilege =
    *S-1-5-21-195067647-1794950695-656849390-1355,*S-1-5-32-544
     
    Die -544 sind die Builtin Administratoren, die andere ist irgend eine
    Domänengruppe.
     
    Mittwoch, 27. April 2016 11:00
    Beantworter
  • Genau in der GptTmpl.inf habe ich auch nachgesehen. Es geht trotzdem nicht, Anpassung der Firewall war auch nicht erfolgreich. Wir werden das Problem jetzt mit einer separaten OU lösen.
    Donnerstag, 28. April 2016 07:26
  • > Genau in der GptTmpl.inf habe ich auch nachgesehen. Es geht trotzdem
    > nicht, Anpassung der Firewall war auch nicht erfolgreich.
     
    Jetzt versteh ich glaub - das sind Konten, die nur auf dem anderen
    Server existieren, oder? Das geht dann nicht :-)
     
    Und vielleicht ist das hier insgesamt hilfreich:
     
    Donnerstag, 28. April 2016 09:34
    Beantworter
  • Wir werden die Konten in der Domäne anlegen, um das Problem zu beseitigen.
    Montag, 2. Mai 2016 09:07